3·15晚會(huì)上，央視曝光了WiFi探針盒子通過手機(jī)MAC地址、大數(shù)據(jù)匹配獲取手機(jī)用戶個(gè)人信息的典型案例。

其中，曝光的“聲牙科技有限公司”號(hào)稱有全國6億手機(jī)用戶的個(gè)人信息，包括手機(jī)號(hào)，只要將獲取到的手機(jī)MAC地址與公司后臺(tái)的大數(shù)據(jù)匹配，就可以匹配出用戶的手機(jī)號(hào)碼，匹配率大概在60%。

 

你以為這就完了？不不，就在“WiFi探針盒子”事件尚未偃旗息鼓之時(shí)，阿里安全研究專家再度發(fā)現(xiàn)WiFi的重大新問題。

3月22日，阿里安全獵戶座實(shí)驗(yàn)室資深安全專家侯客、高級(jí)安全工程師青惟在加拿大溫哥華舉辦的世界信息安全峰會(huì)CanSecWest2019上披露了這一研究成果。那么，這個(gè)攻擊到底長(zhǎng)啥樣？相比“WiFi探針盒子”它具備哪些新“技能”？

為了搞清楚上面的問題，本宅和阿里安全發(fā)現(xiàn)這次攻擊的兩位研究員小哥聊了聊。

新型WiFi攻擊

此次阿里安全披露的WiFi問題主要是基于WPA/WPA2在防止重放攻擊的機(jī)制設(shè)計(jì)上存在的一些缺陷。

概括來說，就是用戶在使用公共WiFi時(shí)，攻擊者可以透過這一缺陷，精確地攻擊某個(gè)WiFi網(wǎng)絡(luò)中的某一個(gè)或某幾個(gè)用戶，導(dǎo)致用戶在瀏覽網(wǎng)頁時(shí)遭到釣魚，進(jìn)而造成信息泄露或經(jīng)濟(jì)損失。

那么，攻擊具體是怎樣執(zhí)行的呢？阿里安全研究員候客告訴雷鋒網(wǎng)，整個(gè)攻擊過程主要分為兩個(gè)階段：

1、MOTS（Man-On-The-Side）“邊注入攻擊”階段

首先，要旁聽用戶和無線接入點(diǎn)的通信情況。通過自行設(shè)計(jì)的攻擊設(shè)備，可以任意收發(fā)802.11 MAC層數(shù)據(jù)包。一旦發(fā)現(xiàn)在同一頻道下有用戶在進(jìn)行一些敏感行為時(shí)，比如用戶正在發(fā)送DNS的請(qǐng)求包，那么攻擊者在用戶發(fā)送特定DNS請(qǐng)求的時(shí)候立即啟動(dòng)攻擊工具發(fā)出一個(gè)偽造的DNS response 包，從而讓用戶端收到偽造的 IP 。

在用戶訪問偽造 IP 后，也就達(dá)到了 DNS 劫持的效果。這一過程可最終引導(dǎo)用戶進(jìn)入釣魚網(wǎng)站或者被篡改過的非https頁面，進(jìn)而達(dá)到竊取用戶隱私數(shù)據(jù)的目的。值得注意的是，該攻擊過程無法被取證工具檢測(cè)到（詳細(xì)情況會(huì)在后面寫到）。

2、Side Relay“邊中繼攻擊”階段

加密網(wǎng)絡(luò)中一般會(huì)有一個(gè)防止重放攻擊機(jī)制，與TCP中IP協(xié)議的序列號(hào)不同，該機(jī)制的序列號(hào)是一直遞增的，并且每次遞增以后，它只接受比當(dāng)前序列號(hào)大的包，如果序號(hào)小于當(dāng)前的包，就會(huì)把包直接丟棄。

利用這一點(diǎn)，可以通過合法手段來抓取 AP （無線接入點(diǎn)）的數(shù)據(jù)包進(jìn)行修改，使其成為序列號(hào)非常大的包，再投放給客戶端，在接下來很長(zhǎng)一段時(shí)間里都會(huì)將AP發(fā)來的包丟棄。然而，此時(shí)攻擊者可以將 AP 發(fā)送過來的包進(jìn)行修改，使其序列號(hào)大于用戶期望的序列號(hào)，然后重新發(fā)給用戶，此時(shí)用戶能夠正常接收修改過的數(shù)據(jù)包，這樣一來就成功實(shí)施了中間人劫持，攻擊期間可以對(duì) AP 和用戶之間的流量進(jìn)行隨意的修改。

黑產(chǎn)的“核武器”

“毫不夸張的說，黑產(chǎn)拿到它，就好比恐怖分子拿到了核武器，恐怖至極?！?/p>

侯客稱，攻擊一旦被利用，其針對(duì)的并非某些特定的 WiFi 芯片廠商，其范圍包括近乎任何具備 WiFi 聯(lián)網(wǎng)功能的電子設(shè)備，黑產(chǎn)可攻擊任一端的用戶。因此，這次攻擊實(shí)際是基于 WiFi 協(xié)議設(shè)計(jì)的一個(gè)缺陷。

此外，在驗(yàn)證工具 80211Killer （侯客團(tuán)隊(duì)自行設(shè)計(jì)的攻擊驗(yàn)證工具）問世前，這種攻擊方式很難被發(fā)現(xiàn)。正如上面提到的，由于可以在不連接熱點(diǎn)的情況下執(zhí)行攻擊，因此其攻擊過程無法被取證工具檢測(cè)到。

侯客解釋道：“我們的攻擊工具以旁聽的狀態(tài)來分析所有用戶連接的流量情況。因?yàn)閳?zhí)行此操作的前提在于知道目標(biāo) WiFi 網(wǎng)絡(luò)的密碼以及目標(biāo) WiFi 網(wǎng)絡(luò)的 ESSID （名稱）。通過使用截取對(duì)方連接 AP 的四次握手信息，我們可以推算出其臨時(shí)與路由器通訊加密用的密鑰，進(jìn)而操控用戶的流量。和國外大多數(shù) WiFi 研究中采用偽造一些 AP熱點(diǎn)的做法不同，前者不需要連到目標(biāo)網(wǎng)絡(luò)，因此達(dá)到了很好的反取證效果。”

侯客告訴雷鋒網(wǎng)，在企業(yè)網(wǎng)絡(luò)中，黑產(chǎn)一旦拿到 WiFi 密碼即可劫持所有員工的網(wǎng)絡(luò)流量。視攻擊者目的而定，輕則企業(yè)員工個(gè)人隱私信息泄露，重則會(huì)導(dǎo)致企業(yè)的商業(yè)機(jī)密被盜；而對(duì)于個(gè)人來說，在餐廳、咖啡店、機(jī)場(chǎng)、酒店這類的公共場(chǎng)所中，攻擊者可以通過共享 WiFi 的渠道獲知該網(wǎng)絡(luò)的密碼，并可以劫持目前該 WiFi 環(huán)境下的單個(gè)或多個(gè)用戶流量，并以此將其導(dǎo)入釣魚網(wǎng)站進(jìn)行財(cái)產(chǎn)竊取。

而無論攻擊者目的為何，總能逃過取證工具的檢驗(yàn)，攻擊過程也就變得“來無影去無蹤”。此外，侯客還稱在具備攻擊工具的情況下該攻擊的成本幾乎為0，其成功率卻趨于100%。盡管在設(shè)備性能、網(wǎng)絡(luò)環(huán)境較差的情況下，這種攻擊的成功率會(huì)受到影響，但依然是傳統(tǒng)攻擊方式無法比擬的。

毋庸置疑，這樣的攻擊手法一旦被黑產(chǎn)利用，其過程對(duì)于個(gè)人、企業(yè)來說會(huì)造成極大危害。

如何避免遭受攻擊？

“嚴(yán)格意義上來講，絕對(duì)的 WiFi 安全是不存在的?！焙羁头Q，現(xiàn)在的 WiFi 使用的是單向認(rèn)證機(jī)制，這就意味著網(wǎng)絡(luò)連接的雙方無法互相得到安全認(rèn)證，相比蜂窩網(wǎng)絡(luò)其安全性更低。

那么，如何避免上述這樣的攻擊呢？

侯客告訴雷鋒網(wǎng)，用戶需要注意以下幾點(diǎn)：

1、保持良好使用wifi網(wǎng)絡(luò)的習(xí)慣，盡量避免使用公共 wifi ，使用4G網(wǎng)絡(luò)會(huì)更加安全；

2、盡量使用一些端對(duì)端可信認(rèn)證的體系。比如說訪問一些網(wǎng)站。也有基于可信授權(quán)的那種訪問方式，比如說https，以此保證即使在網(wǎng)絡(luò)環(huán)境被污染的情況下仍不會(huì)被劫持；

3、產(chǎn)業(yè)鏈大力推進(jìn) WPA3 標(biāo)準(zhǔn)普及；

在侯客看來， WPA3 的普及仍需要很長(zhǎng)一段時(shí)間。他說， WPA 和 WPA2 的標(biāo)準(zhǔn)開始起草是在 2004 年，直到現(xiàn)在已經(jīng)有 15 年的歷史了。一般來說，在 WiFi 聯(lián)盟起草完成一個(gè)標(biāo)準(zhǔn)后，首先要各大 WiFi 芯片生產(chǎn)商進(jìn)行推廣，再由硬件制造廠商大規(guī)模裝載，這一鏈路遠(yuǎn)比想象中的長(zhǎng)。

“毫無疑問， WPA3 標(biāo)準(zhǔn)為這種攻擊增加了難度——把認(rèn)證和協(xié)商密鑰分成兩步，而不是通過 PSK 來生成一個(gè)臨時(shí)秘鑰。當(dāng)然，理論上來說 WPA3 標(biāo)準(zhǔn)仍無法完全避免上述攻擊，但可以從很大程度上緩解，這是 WiFi 設(shè)計(jì)中無法避免的一個(gè)問題?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。