概括來說，就是用戶在使用公共WiFi時，攻擊者可以透過這一缺陷，精確地攻擊某個WiFi網絡中的某一個或某幾個用戶，導致用戶在瀏覽網頁時遭到釣魚，進而造成信息泄露或經濟損失。

3·15晚會上，央視曝光了WiFi探針盒子通過手機MAC地址、大數據匹配獲取手機用戶個人信息的典型案例。 其中，曝光的“聲牙科技有限公司”號稱有全國6億手機用戶的個人信息，包括手機號，只要將獲取到的手機MAC地址與公司后臺的大數據匹配，就可以匹配出用戶的手機號碼，匹配率大概在60%。

你以為這就完了?不不，就在“WiFi探針盒子”事件尚未偃旗息鼓之時，阿里安全研究專家再度發現WiFi的重大新問題。 3月22日，阿里安全獵戶座實驗室資深安全專家侯客、高級安全工程師青惟在加拿大溫哥華舉辦的世界信息安全峰會CanSecWest2019上披露了這一研究成果。那么，這個攻擊到底長啥樣?相比“WiFi探針盒子”它具備哪些新“技能”? 為了搞清楚上面的問題，本宅和阿里安全發現這次攻擊的兩位研究員小哥聊了聊。

新型WiFi攻擊

此次阿里安全披露的WiFi問題主要是基于WPA/WPA2在防止重放攻擊的機制設計上存在的一些缺陷。 概括來說，就是用戶在使用公共WiFi時，攻擊者可以透過這一缺陷，精確地攻擊某個WiFi網絡中的某一個或某幾個用戶，導致用戶在瀏覽網頁時遭到釣魚，進而造成信息泄露或經濟損失。 那么，攻擊具體是怎樣執行的呢?阿里安全研究員候客告訴雷鋒網，整個攻擊過程主要分為兩個階段：

1、MOTS(Man-On-The-Side)“邊注入攻擊”階段

首先，要旁聽用戶和無線接入點的通信情況。通過自行設計的攻擊設備，可以任意收發802.11 MAC層數據包。一旦發現在同一頻道下有用戶在進行一些敏感行為時，比如用戶正在發送DNS的請求包，那么攻擊者在用戶發送特定DNS請求的時候立即啟動攻擊工具發出一個偽造的DNS response 包，從而讓用戶端收到偽造的 IP 。 在用戶訪問偽造 IP 后，也就達到了 DNS 劫持的效果。這一過程可最終引導用戶進入釣魚網站或者被篡改過的非https頁面，進而達到竊取用戶隱私數據的目的。值得注意的是，該攻擊過程無法被取證工具檢測到(詳細情況會在后面寫到)。

2、Side Relay“邊中繼攻擊”階段

加密網絡中一般會有一個防止重放攻擊機制，與TCP中IP協議的序列號不同，該機制的序列號是一直遞增的，并且每次遞增以后，它只接受比當前序列號大的包，如果序號小于當前的包，就會把包直接丟棄。 利用這一點，可以通過合法手段來抓取 AP (無線接入點)的數據包進行修改，使其成為序列號非常大的包，再投放給客戶端，在接下來很長一段時間里都會將AP發來的包丟棄。然而，此時攻擊者可以將 AP 發送過來的包進行修改，使其序列號大于用戶期望的序列號，然后重新發給用戶，此時用戶能夠正常接收修改過的數據包，這樣一來就成功實施了中間人劫持，攻擊期間可以對 AP 和用戶之間的流量進行隨意的修改。

黑產的“核武器”

“毫不夸張的說，黑產拿到它，就好比恐怖分子拿到了核武器，恐怖至極。”

侯客稱，攻擊一旦被利用，其針對的并非某些特定的 WiFi 芯片廠商，其范圍包括近乎任何具備 WiFi 聯網功能的電子設備，黑產可攻擊任一端的用戶。因此，這次攻擊實際是基于 WiFi 協議設計的一個缺陷。 此外，在驗證工具 80211Killer (侯客團隊自行設計的攻擊驗證工具)問世前，這種攻擊方式很難被發現。正如上面提到的，由于可以在不連接熱點的情況下執行攻擊，因此其攻擊過程無法被取證工具檢測到。 侯客解釋道：“我們的攻擊工具以旁聽的狀態來分析所有用戶連接的流量情況。因為執行此操作的前提在于知道目標 WiFi 網絡的密碼以及目標 WiFi 網絡的 ESSID (名稱)。通過使用截取對方連接 AP 的四次握手信息，我們可以推算出其臨時與路由器通訊加密用的密鑰，進而操控用戶的流量。和國外大多數 WiFi 研究中采用偽造一些 AP熱點的做法不同，前者不需要連到目標網絡，因此達到了很好的反取證效果。” 侯客告訴雷鋒網(公眾號：雷鋒網)，在企業網絡中，黑產一旦拿到 WiFi 密碼即可劫持所有員工的網絡流量。視攻擊者目的而定，輕則企業員工個人隱私信息泄露，重則會導致企業的商業機密被盜;而對于個人來說，在餐廳、咖啡店、機場、酒店這類的公共場所中，攻擊者可以通過共享 WiFi 的渠道獲知該網絡的密碼，并可以劫持目前該 WiFi 環境下的單個或多個用戶流量，并以此將其導入釣魚網站進行財產竊取。 而無論攻擊者目的為何，總能逃過取證工具的檢驗，攻擊過程也就變得“來無影去無蹤”。此外，侯客還稱在具備攻擊工具的情況下該攻擊的成本幾乎為0，其成功率卻趨于100%。盡管在設備性能、網絡環境較差的情況下，這種攻擊的成功率會受到影響，但依然是傳統攻擊方式無法比擬的。 毋庸置疑，這樣的攻擊手法一旦被黑產利用，其過程對于個人、企業來說會造成極大危害。

如何避免遭受攻擊?

“嚴格意義上來講，絕對的 WiFi 安全是不存在的。”侯客稱，現在的 WiFi 使用的是單向認證機制，這就意味著網絡連接的雙方無法互相得到安全認證，相比蜂窩網絡其安全性更低。 那么，如何避免上述這樣的攻擊呢? 侯客告訴雷鋒網，用戶需要注意以下幾點：

1、保持良好使用wifi網絡的習慣，盡量避免使用公共 wifi ，使用4G網絡會更加安全;
2、盡量使用一些端對端可信認證的體系。比如說訪問一些網站。也有基于可信授權的那種訪問方式，比如說https，以此保證即使在網絡環境被污染的情況下仍不會被劫持;
3、產業鏈大力推進 WPA3 標準普及;
在侯客看來， WPA3 的普及仍需要很長一段時間。他說， WPA 和 WPA2 的標準開始起草是在 2004 年，直到現在已經有 15 年的歷史了。一般來說，在 WiFi 聯盟起草完成一個標準后，首先要各大 WiFi 芯片生產商進行推廣，再由硬件制造廠商大規模裝載，這一鏈路遠比想象中的長。
“毫無疑問， WPA3 標準為這種攻擊增加了難度——把認證和協商密鑰分成兩步，而不是通過 PSK 來生成一個臨時秘鑰。當然，理論上來說 WPA3 標準仍無法完全避免上述攻擊，但可以從很大程度上緩解，這是 WiFi 設計中無法避免的一個問題。”