SSID Stripping: a hamis hálózatokkal való megtévesztés

 

Egy új módszert azonosítottak a kutatók, amellyel a támadók elérhetik, hogy áldozatuk a saját hálózata helyett az ő hozzáférési pontjukhoz (AP) csatlakozzon. Az SSID Strippingnek nevezett módszert 2021. szeptember 13-án hozta nyilvánosságra a vezeték nélküli biztonságra szakosodott AirEye, amely a Technion (Izraeli Technológiai Intézet) kutatóival együttműködve fedezte fel a hibát. A biztonsági rés a Windows, macOS, Ubuntu, Android és iOS rendszert futtató eszközöket érinti.

Háromféle, általuk „megjelenítési hibának” nevezett típusa ismert:

  • Az egyik ilyen hiba egy NULL bájt beillesztése az SSID-be, aminek hatására az Apple készülékek csak a névnek azt a részét jelenítik meg, amelyik e bájt előtt található. A Windows eszközökön a támadó „új sor” karakterekkel érhette el ugyanezt a hatást.
  • A második típus nem nyomtatható karakterekkel idézhető elő. A támadó speciális karaktereket adhat az SSID-hez, amelyek a névben szerepelnek, azonban valójában nem jelennek meg a felhasználó számára.
    Például az ‘aireye_x1cnetwork‘ hálózati név (amiben az x1c egy 0x1C hexadecimális értékű bájtot jelöl, amely az ASCII kódtáblában a 28-as karaktert – vagyis a fájl szeparátort – jelenti), a készülékeken pontosan ugyanúgy jelenik meg, mint az ‘aireye_network‘.
  • A harmadik típusú hiba lényege, hogy a hálózat nevének egy bizonyos része kiszorul a képernyő látható részéből.
    Például egy ‘aireye_networknnnnnnnnnnnnnnnrogue‘ formájú SSID-t (ahol az ‘n’ az új sor karaktert jelöli) az iPhone ‘aireye_network‘-ként jelenítheti meg, a ‘rogue’ szó kiszorul a kijelzőből.

Ha egy támadó el tudja érni, hogy a felhasználó a saját Wi-Fi kapcsolatához csatlakozzon, akkor képes lehet lehallgatni az áldozat kommunikációját, és ellopni az adatait. A támadók gyakran egy olyan hamis AP-t állítanak fel, amelynek neve megegyezik a célpont által jellemzően használt kapcsolat nevével. Az operációs rendszerek gyártói azonban olyan védelmet vezettek be, amely megakadályozza, hogy a felhasználók akaratlanul csatlakozzanak ezekhez az AP-khez, mivel a kapcsolat automatikus csatlakozása előtt a kapcsolat nevén kívül más attribútumok is összehasonlításra kerülnek. Egy SSID Stripping támadás esetén a felhasználó látná, hogy van egy olyan kapcsolat, amelynek neve megegyezik egy általa megbízhatónak tartott kapcsolattal, de a támadáshoz manuálisan kellene csatlakoznia hozzá.

A kutatók a találmányukat sebezhetőségként írták le, de az érintett gyártók nem tekintik ezt komoly biztonsági problémának. Az AirEye szerint a felfedezéseket júliusban jelentették az Apple, a Microsoft, a Google (Android) és a Canonical (Ubuntu) számára. Bár mindannyian elismerték a problémát, azonban „kisebb biztonsági következményekkel járónak” minősítették, és nem valószínű, hogy a közeljövőben javítócsomagokat fognak bevezetni.

(securityweek.com)