Sicherheitsforscher haben mit AirSnitch eine neue Klasse von WLAN-Angriffen vorgestellt, die zeigt, dass die häufig beworbene Wi-Fi-Client-Isolation in der Praxis oft deutlich schwächer ist als erwartet. Betroffen sind verbreitete Router und Access Points von Netgear, D-Link, Ubiquiti, Cisco, TP-Link, Asus sowie Geräte mit DD-WRT– und OpenWrt-Firmware. Angreifer können innerhalb derselben Funk-Infrastruktur den Datenverkehr anderer Clients abfangen und manipulieren – obwohl die Isolation eigentlich genau das verhindern soll.
Was AirSnitch von klassischen WLAN-Angriffen unterscheidet
AirSnitch wurde von Xin’an Zhou und Mathy Vanhoef auf dem Network and Distributed System Security Symposium (NDSS) 2026 vorgestellt. Im Gegensatz zu bekannten Angriffen wie KRACK zielt AirSnitch nicht auf die Kryptografie von WPA2 oder WPA3 ab. Die Verschlüsselung bleibt grundsätzlich intakt. Stattdessen nutzt die Angriffsfamilie Schwächen in der Verzahnung von physikalischer und Sicherungsschicht (Layer 1/2) mit höheren Netzwerkebenen aus.
Im Fokus steht die Umgehung der Client-Isolation. Dieser Mechanismus soll verhindern, dass Geräte im selben WLAN direkt miteinander kommunizieren. Hersteller bewerben ihn als zentrales Sicherheitsmerkmal für Gast- und Hotspot-Netze. AirSnitch demonstriert jedoch, dass sich dieser Schutz in vielen Implementierungen aushebeln lässt, ohne die WPA2/WPA3-Verschlüsselung zu brechen oder Zugangsdaten zu kompromittieren.
Technischer Kern: Port Stealing im WLAN und Aufbau eines MitM
Von Ethernet übernommen: Manipulation der MAC-Zuordnung
Der gefährlichste AirSnitch-Szenario ermöglicht einen vollwertigen Man-in-the-Middle (MitM)-Angriff. Grundlage ist eine Adaption der aus Ethernet bekannten Port-Stealing-Technik auf die WLAN-Welt. Der Angreifer täuscht dem Layer‑2‑Backend – typischerweise einem Switch oder dem internen Bridge-Modul des Access Points – vor, er sei der legitime Inhaber der MAC-Adresse des Opfers.
Dazu verbindet sich der Angreifer mit demselben BSSID, jedoch über ein anderes Funkband als das Opfer (beispielsweise Opfer auf 5 GHz, Angreifer auf 2,4 GHz) und durchläuft korrekt das WPA2/3-Vier-Wege-Handshake. Die Folge: Die Layer‑2‑Infrastruktur beginnt, den eigentlich für das Opfer bestimmten Verkehr an den Funk-Interface des Angreifers zu leiten und diesen mit dem Schlüsselsatz (PTK) des Angreifers zu verschlüsseln.
MitM trotz Isolation: Nutzung des Gruppenschlüssels
Um daraus eine stabile, bidirektionale MitM-Position zu machen, nutzt AirSnitch ICMP-Pakete (Ping) mit frei gewählter MAC-Adresse, die über den Gruppenschlüssel (Group Temporal Key, GTK) verschlüsselt werden. Dadurch veranlasst der Access Point eine Aktualisierung seiner MAC-Adress-Zuordnung, während der Datenverkehr des Opfers weiterhin durch den Angreifer fließt.
Ein wesentlicher Faktor ist, dass ein Access Point Funkressourcen nicht so strikt an einen einzelnen Client binden kann wie ein kabelgebundener Switch seine Ports. Alle WLAN-Clients teilen sich dasselbe Medium und sind mobil. AirSnitch nutzt genau diese architekturbedingte Flexibilität aus, um die Client-Isolation zu unterlaufen.
Konkrete Risiken: HTTP, DNS-Manipulation und RADIUS-Angriffe
Ausnutzen unverschlüsselter Verbindungen und DNS-Schwächen
Besonders kritisch wird AirSnitch überall dort, wo noch kein durchgängiges HTTPS genutzt wird. Laut öffentlich zugänglichen Analysen, etwa aus dem Google Transparency Report, werden auf Windows-Systemen weiterhin rund 6 % und auf Linux-Systemen bis zu 20 % der Seiten über unverschlüsseltes HTTP geladen. In solchen Fällen kann ein Angreifer Inhalte im Klartext mitlesen: Cookies, Login-Daten, persönliche Informationen oder Zahlungsdaten.
Doch selbst bei konsequenter HTTPS-Nutzung bleibt Angriffsfläche. AirSnitch ermöglicht die Manipulation von DNS-Anfragen, wenn diese ungesichert übertragen werden. Durch DNS-Spoofing oder Cache-Poisoning lässt sich der Datenverkehr auf täuschend echt aussehende Phishing-Seiten oder manipulierte Dienste umleiten – der Browser zeigt dennoch oft ein scheinbar legitimes Zertifikat, sofern der Angreifer die Auflösung geschickt steuert.
Enterprise-WLAN im Visier: Angriff auf RADIUS und Gateway
Die Forscher zeigen zudem, dass AirSnitch nicht auf einfache Gast- oder Heimnetze beschränkt ist. Auch WPA2-Enterprise/WPA3-Enterprise-Umgebungen mit individuellen Zugangsdaten für jeden Nutzer sind betroffen, sofern mehrere Access Points über dasselbe kabelgebundene Distribution System verbunden sind.
Besonders schwerwiegend ist ein Szenario, in dem der Angreifer den MAC-Adresse des Gateways oder des RADIUS-Servers imitiert. Gelingt es, den Verkehr zwischen Access Point und RADIUS-Server mitzulesen und zu verändern, sind Angriffe auf den RADIUS-Message-Authenticator und eine Rekonstruktion des gemeinsamen RADIUS-Geheimnisses möglich. Mit einem erbeuteten Shared Secret kann der Angreifer einen eigenen RADIUS-Server und eine Fake-WLAN-Infrastruktur aufbauen und so in großem Stil Unternehmensaccounts kompromittieren.
Betroffene Router und strukturelle Grenzen von Patches
Getestet wurden unter anderem Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien, Cisco Catalyst 9130 sowie die aktuelle Version OpenWrt 24.10. Alle geprüften Geräte erwiesen sich als verwundbar gegenüber mindestens einer AirSnitch-Variante. Einige Hersteller stellen bereits Firmware-Updates bereit, doch ein Teil der Probleme resultiert aus grundlegenden Eigenschaften der Funk- und Switching-Architektur, die sich nur begrenzt softwareseitig beheben lassen.
Abwehrstrategien: Grenzen von VPN und VLAN, Rolle von Zero Trust
Warum klassische Schutzmechanismen nicht ausreichen
Der Einsatz von VPNs bietet zwar wichtigen Zusatzschutz, ist jedoch keine vollständige Antwort auf AirSnitch. Viele VPN-Implementierungen lassen weiterhin Metadaten und DNS-Anfragen außerhalb des Tunnels zu, was die Analyse und Manipulation des Traffics ermöglicht. Ähnlich verhält es sich mit VLAN-Segmentierung zwischen SSIDs: VLANs reduzieren das Risiko, können aber nicht als absoluter Sicherheitsperimeter gegen alle AirSnitch-Varianten betrachtet werden, zumal Konfigurationsfehler in komplexen Umgebungen häufig sind.
Praxisempfehlungen für Heimnetz und Unternehmen
Als robustester Ansatz gilt ein Zero-Trust-Modell, wie es etwa in NIST SP 800-207 beschrieben wird: Kein Gerät wird standardmäßig als vertrauenswürdig eingestuft, und der Zugriff auf Ressourcen orientiert sich strikt am Prinzip der minimalen Rechte. Die Umsetzung erfordert jedoch organisatorische und technische Umstellungen und ist daher ein mittelfristiges Ziel.
Kurzfristig sollten Organisationen und Privatanwender mehrere Maßnahmen kombinieren: möglichst vollständige Umstellung auf HTTPS mit HSTS, Verwendung sicherer Namensauflösung wie DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT), konsequente Firmware-Updates für WLAN-Router, Deaktivierung unnötiger SSIDs und Gastnetze, restriktive Zugriffskontrollen auf sensible Dienste sowie der Einsatz von Monitoring- und Intrusion-Detection-Lösungen für WLAN-Umgebungen.
Für die praktische Ausnutzung von AirSnitch ist physische Nähe und Zugang zur Ziel-WLAN-Infrastruktur erforderlich. Das begrenzt zwar die Reichweite gegenüber rein entfernten Angriffen, ändert aber nichts an der grundsätzlichen Tragweite: AirSnitch macht deutlich, dass sich auf Client-Isolation und klassische Segmentierung allein nicht mehr verlassen werden kann. Verantwortliche sollten ihre WLAN-Architektur, Konfigurationen und Sicherheitsrichtlinien kritisch prüfen und schrittweise zu Zero-Trust-Prinzipien übergehen, um WLAN-Sicherheit langfristig zu stärken.
