WiFi 标准中存在漏洞 可导致 SSID 混淆攻击

VPN 审计网站 Top10VPN 和鲁汶大学的研究人员提到，这类攻击可导致受害者面临更高的流量拦截和操纵风险，漏洞详情已发布。

该缺陷的编号是CVE-2023-52424，影响所有操作系统的所有WiFi客户端。受影响的 WiFi 网络包括基于广为部署的 WPA3 协议、WEP和802.11X/EAP的网络。研究人员已发布WiFi标准更新以及个人和组织机构可用于缓解风险的方法。

鲁汶大学的研究人员 Héloïse Gollier 和Mathy Vanhoef在论文中提到，“在本论文中，我们证明了客户端可被诱骗连接到不同的受保护 WiFi 网络而非既定网络。也就是说客户端的用户界面将显示不同的SSID而非实际连接的网络SSID。”

Vanhoef同时是鲁汶大学的一名教授，他此前曾发现了多个著名的WiFi漏洞和利用，如WPA3 中的Dragonblood、涉及WPA2的Krack 密钥重装攻击以及 VPN 客户端中的 TunnelCrack 漏洞。

该设计缺陷的根因在于IEEE 802.11 标准并不总是要求网络的SSID 进行连接认证。SSID 识别唯一的无线访问点和网络，因此与临近区域的其它网络有所不同。研究人员表示，“现代WiFi网络依赖于4个方向握手来认证自身和客户端，并谈判密钥以加密连接。该4个方向的握手采用共享的 PMK，而PMK可根据WiFi版本和所使用的特定认证协议进行不同衍生。”

问题在于，IEEE 802.11 标准并不强制要求SSID包含在密钥衍生流程中。换句话说，SSID并不总是客户端设备连接到SSID时认证流程的一部分。在这些实现中，攻击者有机会设置恶意访问点、嗅探可信网络的SSID，并利用它将受害者降级到可信度更低的网络中。

攻击者利用该弱点需要满足特定的条件。它仅在组织机构可能拥有凭据共享的两个WiFi网络时才起作用。例如，当环境的网络是2.4 GHz 和另外一个 5 GHz 宽带，每个网络的SSID不同但使用的认证凭据相同。一般而言，客户端设备将连接到更安全的5 GHz 网络。但距离目标网络更近可发动中间人攻击的攻击者可将恶意访问点的SSID绑定到5 GHz，之后通过恶意访问点来接收并将所有的认证框架转发到更弱的 2.4 GHz 访问带你，并将客户端设备转而连接到另外一个网络。

这类降级可导致攻击者易受风险更高的攻击如 Krack 和其它威胁。更重要的是，在某些情况下，它可中和VPN防护措施。研究人员表示，“很多VPN如Cloudflare 的 Warp、hide.me 和 Windscribe 可在连接到可信的 WiFi 网络时自动禁用VPN。”这么做的原因是VPN 基于SSID识别到了该WiFi 网络。建立这类多频道中间人可适用于所有现有的WiFi实现。

Top10VPN 给出了应对这些SSID混淆攻击的三种防御措施。其中一个是更新 IEEE 802.11 标准，使 SSID 认证变为强制性。另外一种方法是更好地保护可定期传输访问点的信号，这样当SSID改变时，可检测到连接的客户端。第三种方法是避免在不同的SSID中复用凭据。