Исследователи информационной безопасности представили серию атак AirSnitch, которая демонстрирует, что изоляция клиентов в Wi‑Fi далеко не всегда работает так, как заявляют производители. Уязвимыми оказались популярные маршрутизаторы и точки доступа Netgear, D-Link, Ubiquiti, Cisco, TP-Link, Asus, а также устройства на базе прошивок DD-WRT и OpenWrt. Атаки позволяют перехватывать и изменять трафик других клиентов, оставаясь в той же беспроводной инфраструктуре.
AirSnitch: смещение фокуса от криптографии к сетевому стеку
Работа Синьаня Чжоу (Xin’an Zhou) и Мати Ванхофа (Mathy Vanhoef), представлена на конференции Network and Distributed System Security Symposium 2026, принципиально отличается от известных атак на Wi‑Fi наподобие KRACK. В то время как KRACK эксплуатировал ошибки в криптографическом протоколе WPA2, AirSnitch не ломает шифрование, а использует несовершенство взаимодействия между физическим и канальным уровнями (Layer 1 и Layer 2) и более высокими уровнями сети.
Ключевая цель AirSnitch — обход клиентской изоляции (AP isolation, client isolation), то есть механизма, который должен блокировать прямой обмен трафиком между устройствами в одной Wi‑Fi-сети. Производители позиционируют эту функцию как базовую защиту гостевых и открытых сетей, однако исследование показывает, что она может быть обойдена без компрометации криптографии WPA2/WPA3.
Как работает атака AirSnitch: port stealing в беспроводной среде
Port stealing по‑Wi‑Fi и организация MitM
Самый опасный сценарий AirSnitch — полноценная двунаправленная MitM‑атака (man-in-the-middle). Атакующий получает возможность просматривать и модифицировать трафик жертвы до того, как данные достигнут целевого сервера — при этом злоумышленник может находиться в том же SSID, другом SSID или вообще в отдельном VLAN/сегменте, если всё это связано с одной точкой доступа.
Технически атака начинается с адаптации классической Ethernet‑техники port stealing к Wi‑Fi. Злоумышленник «перехватывает» сопоставление MAC-адреса жертвы на канальном уровне: подключается к тому же BSSID, но через радиоинтерфейс (частоту), которой жертва не пользуется (например, жертва работает на 5 ГГц, а атакующий подключается на 2,4 ГГц), и корректно завершает четырёхстороннее рукопожатие WPA2/3.
В результате коммутатор на уровне 2 начинает отправлять трафик, предназначенный жертве, на интерфейс атакующего, шифруя его уже ключом PTK злоумышленника. Для восстановления двусторонней связи и превращения перехвата в MitM используется ICMP‑пинг с произвольного MAC-адреса, зашифрованный групповым ключом (Group Temporal Key). Это заставляет точку доступа повторно актуализировать таблицу соответствия MAC‑адресов, при этом трафик жертвы продолжает проходить через злоумышленника.
Как отмечает руководитель runZero Эйч-Ди Мур (HD Moore), злоумышленник может перенаправлять трафик второго уровня, потому что беспроводная точка доступа не может жёстко привязать «порт» к одному клиенту: в отличие от проводного коммутатора, в Wi‑Fi у всех клиентов один и тот же радиоинтерфейс, а сами клиенты по определению мобильны.
Реальные риски: от HTTP‑трафика до атаки на RADIUS
Перехват данных и отравление DNS
Перехват трафика особенно критичен там, где нет сквозного шифрования. По данным Google, до 6% страниц на Windows и до 20% на Linux по‑прежнему загружаются по HTTP. В таких случаях атакующий видит содержимое запросов и ответов в открытом виде: cookie‑файлы, логины и пароли, персональные данные, платёжные реквизиты.
Даже если приложение или сайт используют HTTPS, AirSnitch сохраняет возможность вмешательства в несекьюрные части сессии. Злоумышленник может перехватывать и модифицировать DNS‑запросы, проводя отравление DNS‑кэша и перенаправляя жертву на фишинговые или поддельные веб‑ресурсы, внешне не отличающиеся от легитимных.
Обход изоляции в корпоративных Wi‑Fi и компрометация RADIUS
Исследование показывает, что AirSnitch применим не только в гостевых и домашних сетях, но и в корпоративных инфраструктурах с WPA2‑Enterprise/WPA3‑Enterprise и уникальными учётными данными для каждого клиента. При наличии общей проводной инфраструктуры (distribution system), связывающей несколько точек доступа, атака масштабируется и за её пределы.
Особо опасен сценарий с подменой MAC‑адреса шлюза и перехватом RADIUS‑пакетов. Получив возможность видеть и изменять трафик между точкой доступа и RADIUS‑сервером, злоумышленник может атаковать аутентификатор сообщений, восстановить общий RADIUS‑секрет (shared passphrase), а затем развернуть поддельный RADIUS‑сервер и собственную точку доступа WPA2/3. Это открывает путь к масштабному перехвату учётных записей и развитию атаки внутри корпоративной сети.
Какие устройства уязвимы и почему проблемы трудно закрыть
Авторы протестировали 11 популярных устройств, включая Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien Router, Cisco Catalyst 9130 и актуальный релиз OpenWrt 24.10. Каждое из протестированных решений оказалось уязвимо как минимум к одному варианту AirSnitch. Ряд производителей уже выпустили обновления прошивок, однако часть проблем обусловлена архитектурой аппаратной платформы, и полностью устранить их на уровне ПО невозможно.
Защита от AirSnitch: ограничения VPN и VLAN и роль Zero Trust
Почему классические меры не дают полной защиты
Использование VPN даёт лишь частичную защиту: многие реализации по‑прежнему пропускают метаданные и DNS‑запросы вне туннеля, что оставляет пространство для анализа трафика и манипуляций с DNS. VLAN‑изоляция между SSID также не гарантирует безопасность: сложные схемы сегментации легко неверно сконфигурировать, а, по оценке специалистов, VLAN не может рассматриваться как надёжный барьер против всех вариантов AirSnitch.
Практические рекомендации для домашних и корпоративных сетей
Наиболее устойчивым подходом эксперты считают модель Zero Trust, при которой ни один узел сети по умолчанию не считается доверенным, а доступ к ресурсам выдаётся по принципу минимально необходимого. Однако развёртывание Zero Trust требует серьёзных организационных и технологических изменений и остаётся сложной задачей даже для крупных компаний.
В краткосрочной перспективе разумно сочетать несколько мер защиты: максимально переводить сервисы на HTTPS и включать HSTS, использовать защищённые методы разрешения имён (DNS-over-HTTPS/DoT), регулярно обновлять прошивки Wi‑Fi‑оборудования, отключать лишние SSID и гостевые сети, ограничивать доступ к чувствительным ресурсам по принципу минимальных привилегий и применять средства мониторинга аномалий в беспроводной сети.
Для эксплуатации AirSnitch злоумышленнику необходим фактический доступ к целевой Wi‑Fi‑сети, что снижает масштаб угрозы по сравнению с удалёнными атаками уровня WEP. Пока не появятся удобные инструменты автоматизации AirSnitch, многим атакующим действительно проще будет поднять фальшивую точку доступа и использовать сценарий evil twin. Тем не менее, появление AirSnitch — серьёзный сигнал к пересмотру архитектуры беспроводной безопасности, тщательной настройке изоляции клиентов и планомерному движению в сторону принципов Zero Trust как в домашних, так и в корпоративных сетях.
