Дослідники інформаційної безпеки представили серію атак AirSnitch, яка показує, що ізоляція клієнтів у Wi‑Fi (client/AP isolation) далеко не завжди працює так, як обіцяють виробники. Під загрозою опинилися маршрутизатори й точки доступу Netgear, D-Link, Ubiquiti, Cisco, TP-Link, Asus, а також пристрої на базі прошивок DD-WRT та OpenWrt, де можливий перехоплення і модифікація трафіку інших клієнтів у тій самій інфраструктурі.
AirSnitch: атака на мережевий стек, а не на криптографію WPA2/WPA3
Робота Сіньаня Чжоу (Xin’an Zhou) та Маті Ванхофа (Mathy Vanhoef), представлена на NDSS 2026 (Network and Distributed System Security Symposium), принципово відрізняється від відомих атак на Wi‑Fi на кшталт KRACK. Якщо KRACK експлуатувала помилки у протоколі WPA2, то AirSnitch не зламує шифрування, а використовує особливості взаємодії фізичного та канального рівнів (Layer 1/2) з рештою мережевого стека.
Ключова ціль AirSnitch — обхід ізоляції клієнтів Wi‑Fi, механізму, який мав би унеможливити прямий обмін трафіком між пристроями в одній бездротовій мережі. Виробники позиціонують цю функцію як базовий захист гостьових, публічних і корпоративних Wi‑Fi, однак дослідження демонструє, що її можна обійти, не торкаючись криптографії WPA2/WPA3.
Механізм AirSnitch: port stealing у бездротовому середовищі
Перехоплення MAC-адреси та побудова MitM‑атаки
Найнебезпечніший сценарій AirSnitch — повноцінна двонапрямлена MitM‑атака (man‑in‑the‑middle). Зловмисник отримує змогу читати й змінювати трафік жертви ще до його потрапляння на сервер, перебуваючи в тому самому SSID, іншому SSID або навіть у окремому VLAN, якщо всі вони обслуговуються спільною точкою доступу чи комутованою інфраструктурою.
Технічно AirSnitch адаптує класичну Ethernet‑техніку port stealing до Wi‑Fi. Атакувальник «перехоплює» відповідність MAC‑адреси жертви порту на рівні 2: підключається до того ж BSSID, але через інший радіоінтерфейс (наприклад, жертва працює на 5 ГГц, а нападник — на 2,4 ГГц) і коректно завершує чотиристороннє рукотискання WPA2/3. У результаті точка доступу починає шифрувати трафік для цього MAC‑адресу вже ключем PTK зловмисника.
Щоб перетворити перехоплення в стійкий MitM, дослідники використовують ICMP‑ping з довільного MAC‑адресу, зашифрований груповим ключем GTK (Group Temporal Key). Це примушує точку доступу оновити таблицю прив’язки MAC‑адрес, але трафік жертви продовжує проходити через атакувальника. Як підкреслює HD Moore (runZero), точка доступу не може жорстко закріпити «порт» за одним клієнтом: усі клієнти працюють через спільний радіоефір і вважаються мобільними за визначенням.
Наслідки: від перехоплення HTTP до атак на RADIUS у корпоративних Wi‑Fi
Перегляд незашифрованих даних і отруєння DNS
Перехоплення трафіку особливо небезпечне там, де немає наскрізного шифрування. За даними Google, до 6% сторінок у Windows і до 20% у Linux досі завантажуються по HTTP. У таких випадках зловмисник може в явному вигляді бачити cookie‑файли, логіни та паролі, персональні й платіжні дані, а також вносити зміни безпосередньо в контент.
Навіть за використання HTTPS AirSnitch зберігає можливість впливати на несек’юрні частини сесії. Через маніпуляції DNS‑запитами можливі отруєння DNS‑кешу та перенаправлення користувача на фішингові або підроблені веб‑ресурси, які візуально не відрізняються від легітимних сайтів, що підвищує шанси на успішне викрадення облікових даних.
Обхід ізоляції в WPA2/WPA3‑Enterprise та компрометація RADIUS
Особливу тривогу викликає те, що AirSnitch працює не лише в гостьових чи домашніх мережах, а й у корпоративних інфраструктурах WPA2‑Enterprise/WPA3‑Enterprise, де кожен клієнт має власні облікові дані. Якщо кілька точок доступу пов’язані спільною дротовою distribution system, атака масштабуються між ними.
Один із описаних сценаріїв — підміна MAC‑адреси шлюзу та перехоплення RADIUS‑пакетів. Отримавши доступ до трафіку між точкою доступу та RADIUS‑сервером, нападник може атакувати аутентифікатор повідомлень, відновити спільний RADIUS‑секрет (shared secret), а потім розгорнути підроблений RADIUS‑сервер і власну точку доступу WPA2/3. Це відкриває шлях до масового перехоплення корпоративних облікових записів і подальшого руху всередині мережі.
Уразливі пристрої та складність повної ліквідації проблеми
Автори перевірили 11 популярних пристроїв, зокрема Netgear Nighthawk x6 R8000, D-Link DIR‑3040, TP-Link Archer AXE75, Asus RT‑AX57, Ubiquiti AmpliFi Alien Router, Cisco Catalyst 9130 і свіжий реліз OpenWrt 24.10. Кожне з протестованих рішень виявилося уразливим щонайменше до одного варіанта AirSnitch. Частина виробників уже випустила оновлення, проте низка проблем зумовлена архітектурою апаратних платформ, де всі клієнти ділять один радіоканал, а не фізично розділені порти, тому повністю усунути ризики лише прошивками складно.
Як захиститися: обмеження VPN і VLAN та роль моделі Zero Trust
Чому класичні підходи не гарантують повної безпеки Wi‑Fi
Використання VPN дає лише частковий захист: у багатьох реалізаціях DNS‑запити та метадані (наприклад, SNI) залишаються поза тунелем або працює split tunneling. Це дає нападнику можливість аналізувати трафік і маніпулювати розв’язанням доменних імен. VLAN‑ізоляція між SSID також не є абсолютним бар’єром: складні схеми сегментації легко помилково налаштувати, а спільна дротова інфраструктура може бути використана AirSnitch для поширення атаки.
Практичні рекомендації для домашніх та корпоративних мереж
Фахівці вважають найбільш стійким підходом модель Zero Trust, за якої жоден вузол мережі не вважається довіреним за замовчуванням, а доступ до ресурсів надається за принципом мінімально необхідних привілеїв. Це передбачає мікросегментацію, сильну автентифікацію, контекстний контроль доступу й постійний моніторинг, але впровадження Zero Trust є складним проєктом навіть для великих організацій.
У короткостроковій перспективі доцільно поєднати кілька заходів: максимально переводити сервіси на HTTPS і вмикати HSTS, застосовувати DNS‑over‑HTTPS (DoH) або DNS‑over‑TLS (DoT), регулярно оновлювати прошивки Wi‑Fi‑обладнання, вимикати зайві SSID і гостьові мережі, обмежувати доступ до критичних ресурсів за принципом мінімальних привілеїв, а також використовувати засоби виявлення аномалій у бездротових мережах (WIDS/WIPS).
Для експлуатації AirSnitch зловмиснику потрібен реальний доступ до цільової Wi‑Fi‑мережі, що обмежує масштаб загрози порівняно з повністю віддаленими атаками. Поки не з’являться зручні інструменти автоматизації, багатьом нападникам буде простіше застосувати класичний сценарій evil twin. Водночас поява AirSnitch — важливий сигнал для власників домашніх і корпоративних мереж: варто переглянути налаштування ізоляції клієнтів, оновити моделі загроз для Wi‑Fi й планомірно рухатися у бік принципів Zero Trust, поки такі атаки не стали масовими.
