3·15晚會上，央視曝光了WiFi探針盒子通過手機(jī)MAC地址、大數(shù)據(jù)匹配獲取手機(jī)用戶個人信息的典型案例。

其中，曝光的“聲牙科技有限公司”號稱有全國6億手機(jī)用戶的個人信息，包括手機(jī)號，只要將獲取到的手機(jī)MAC地址與公司后臺的大數(shù)據(jù)匹配，就可以匹配出用戶的手機(jī)號碼，匹配率大概在60%。

[[261176]] 

你以為這就完了?不不，就在“WiFi探針盒子”事件尚未偃旗息鼓之時，阿里安全研究專家再度發(fā)現(xiàn)WiFi的重大新問題。

3月22日，阿里安全獵戶座實驗室資深安全專家侯客、高級安全工程師青惟在加拿大溫哥華舉辦的世界信息安全峰會CanSecWest2019上披露了這一研究成果。那么，這個攻擊到底長啥樣?相比“WiFi探針盒子”它具備哪些新“技能”?

為了搞清楚上面的問題，本宅和阿里安全發(fā)現(xiàn)這次攻擊的兩位研究員小哥聊了聊。

新型WiFi攻擊

此次阿里安全披露的WiFi問題主要是基于WPA/WPA2在防止重放攻擊的機(jī)制設(shè)計上存在的一些缺陷。

概括來說，就是用戶在使用公共WiFi時，攻擊者可以透過這一缺陷，精確地攻擊某個WiFi網(wǎng)絡(luò)中的某一個或某幾個用戶，導(dǎo)致用戶在瀏覽網(wǎng)頁時遭到釣魚，進(jìn)而造成信息泄露或經(jīng)濟(jì)損失。

那么，攻擊具體是怎樣執(zhí)行的呢?阿里安全研究員候客告訴雷鋒網(wǎng)，整個攻擊過程主要分為兩個階段：

1、MOTS(Man-On-The-Side)“邊注入攻擊”階段

首先，要旁聽用戶和無線接入點的通信情況。通過自行設(shè)計的攻擊設(shè)備，可以任意收發(fā)802.11 MAC層數(shù)據(jù)包。一旦發(fā)現(xiàn)在同一頻道下有用戶在進(jìn)行一些敏感行為時，比如用戶正在發(fā)送DNS的請求包，那么攻擊者在用戶發(fā)送特定DNS請求的時候立即啟動攻擊工具發(fā)出一個偽造的DNS response 包，從而讓用戶端收到偽造的 IP 。

在用戶訪問偽造 IP 后，也就達(dá)到了 DNS 劫持的效果。這一過程可最終引導(dǎo)用戶進(jìn)入釣魚網(wǎng)站或者被篡改過的非https頁面，進(jìn)而達(dá)到竊取用戶隱私數(shù)據(jù)的目的。值得注意的是，該攻擊過程無法被取證工具檢測到(詳細(xì)情況會在后面寫到)。

2、Side Relay“邊中繼攻擊”階段

加密網(wǎng)絡(luò)中一般會有一個防止重放攻擊機(jī)制，與TCP中IP協(xié)議的序列號不同，該機(jī)制的序列號是一直遞增的，并且每次遞增以后，它只接受比當(dāng)前序列號大的包，如果序號小于當(dāng)前的包，就會把包直接丟棄。

利用這一點，可以通過合法手段來抓取 AP (無線接入點)的數(shù)據(jù)包進(jìn)行修改，使其成為序列號非常大的包，再投放給客戶端，在接下來很長一段時間里都會將AP發(fā)來的包丟棄。然而，此時攻擊者可以將 AP 發(fā)送過來的包進(jìn)行修改，使其序列號大于用戶期望的序列號，然后重新發(fā)給用戶，此時用戶能夠正常接收修改過的數(shù)據(jù)包，這樣一來就成功實施了中間人劫持，攻擊期間可以對 AP 和用戶之間的流量進(jìn)行隨意的修改。

黑產(chǎn)的“核武器”

“毫不夸張的說，黑產(chǎn)拿到它，就好比恐怖分子拿到了核武器，恐怖至極。”

侯客稱，攻擊一旦被利用，其針對的并非某些特定的 WiFi 芯片廠商，其范圍包括近乎任何具備 WiFi 聯(lián)網(wǎng)功能的電子設(shè)備，黑產(chǎn)可攻擊任一端的用戶。因此，這次攻擊實際是基于 WiFi 協(xié)議設(shè)計的一個缺陷。

此外，在驗證工具 80211Killer (侯客團(tuán)隊自行設(shè)計的攻擊驗證工具)問世前，這種攻擊方式很難被發(fā)現(xiàn)。正如上面提到的，由于可以在不連接熱點的情況下執(zhí)行攻擊，因此其攻擊過程無法被取證工具檢測到。

侯客解釋道：“我們的攻擊工具以旁聽的狀態(tài)來分析所有用戶連接的流量情況。因為執(zhí)行此操作的前提在于知道目標(biāo) WiFi 網(wǎng)絡(luò)的密碼以及目標(biāo) WiFi 網(wǎng)絡(luò)的 ESSID (名稱)。通過使用截取對方連接 AP 的四次握手信息，我們可以推算出其臨時與路由器通訊加密用的密鑰，進(jìn)而操控用戶的流量。和國外大多數(shù) WiFi 研究中采用偽造一些 AP熱點的做法不同，前者不需要連到目標(biāo)網(wǎng)絡(luò)，因此達(dá)到了很好的反取證效果。”

侯客告訴雷鋒網(wǎng)，在企業(yè)網(wǎng)絡(luò)中，黑產(chǎn)一旦拿到 WiFi 密碼即可劫持所有員工的網(wǎng)絡(luò)流量。視攻擊者目的而定，輕則企業(yè)員工個人隱私信息泄露，重則會導(dǎo)致企業(yè)的商業(yè)機(jī)密被盜;而對于個人來說，在餐廳、咖啡店、機(jī)場、酒店這類的公共場所中，攻擊者可以通過共享 WiFi 的渠道獲知該網(wǎng)絡(luò)的密碼，并可以劫持目前該 WiFi 環(huán)境下的單個或多個用戶流量，并以此將其導(dǎo)入釣魚網(wǎng)站進(jìn)行財產(chǎn)竊取。

而無論攻擊者目的為何，總能逃過取證工具的檢驗，攻擊過程也就變得“來無影去無蹤”。此外，侯客還稱在具備攻擊工具的情況下該攻擊的成本幾乎為0，其成功率卻趨于100%。盡管在設(shè)備性能、網(wǎng)絡(luò)環(huán)境較差的情況下，這種攻擊的成功率會受到影響，但依然是傳統(tǒng)攻擊方式無法比擬的。

毋庸置疑，這樣的攻擊手法一旦被黑產(chǎn)利用，其過程對于個人、企業(yè)來說會造成極大危害。

如何避免遭受攻擊?

“嚴(yán)格意義上來講，絕對的 WiFi 安全是不存在的。”侯客稱，現(xiàn)在的 WiFi 使用的是單向認(rèn)證機(jī)制，這就意味著網(wǎng)絡(luò)連接的雙方無法互相得到安全認(rèn)證，相比蜂窩網(wǎng)絡(luò)其安全性更低。

那么，如何避免上述這樣的攻擊呢?

侯客告訴雷鋒網(wǎng)，用戶需要注意以下幾點：

1、保持良好使用wifi網(wǎng)絡(luò)的習(xí)慣，盡量避免使用公共 wifi ，使用4G網(wǎng)絡(luò)會更加安全;

2、盡量使用一些端對端可信認(rèn)證的體系。比如說訪問一些網(wǎng)站。也有基于可信授權(quán)的那種訪問方式，比如說https，以此保證即使在網(wǎng)絡(luò)環(huán)境被污染的情況下仍不會被劫持;

3、產(chǎn)業(yè)鏈大力推進(jìn) WPA3 標(biāo)準(zhǔn)普及;

在侯客看來， WPA3 的普及仍需要很長一段時間。他說， WPA 和 WPA2 的標(biāo)準(zhǔn)開始起草是在 2004 年，直到現(xiàn)在已經(jīng)有 15 年的歷史了。一般來說，在 WiFi 聯(lián)盟起草完成一個標(biāo)準(zhǔn)后，首先要各大 WiFi 芯片生產(chǎn)商進(jìn)行推廣，再由硬件制造廠商大規(guī)模裝載，這一鏈路遠(yuǎn)比想象中的長。

“毫無疑問， WPA3 標(biāo)準(zhǔn)為這種攻擊增加了難度——把認(rèn)證和協(xié)商密鑰分成兩步，而不是通過 PSK 來生成一個臨時秘鑰。當(dāng)然，理論上來說 WPA3 標(biāo)準(zhǔn)仍無法完全避免上述攻擊，但可以從很大程度上緩解，這是 WiFi 設(shè)計中無法避免的一個問題。”