Eine neu entdeckte Sicherheitslücke namens „AirSnitch“ bedroht die Sicherheit von WLAN-Netzwerken in Privathaushalten, Büros und großen Unternehmen. Forschern ist es gelungen, eine grundlegende Schutzfunktion, die sogenannte Client-Isolation, zu umgehen. Dies ermöglicht es Angreifern, den Datenverkehr zwischen Geräten im selben Netzwerk abzufangen und zu manipulieren.
Die Schwachstelle betrifft eine breite Palette von Routern bekannter Hersteller. Die Angriffsmethode nutzt fundamentale Designschwächen in den untersten Schichten der Netzwerkarchitektur aus und stellt damit eine ernstzunehmende Gefahr für die Vertraulichkeit von Daten dar.
Das Wichtigste in Kürze
- Neue Angriffsmethode: „AirSnitch“ umgeht die Client-Isolation in WLAN-Netzwerken, eine Funktion, die direkte Kommunikation zwischen verbundenen Geräten verhindern soll.
- Breite Betroffenheit: Router von Herstellern wie Netgear, D-Link, Cisco, Ubiquiti sowie Geräte mit OpenWrt und DD-WRT sind anfällig.
- Gefahr von MitM-Angriffen: Angreifer können sich zwischen ein Gerät und den Router schalten, um Daten mitzulesen und zu verändern (Man-in-the-Middle-Angriff).
- Voraussetzung: Der Angreifer benötigt bereits Zugang zum WLAN, beispielsweise über ein Gastnetzwerk.
Eine neue Bedrohung für WLAN-Netzwerke
Die Sicherheit von drahtlosen Netzwerken basiert maßgeblich auf Verschlüsselung und Isolationsmechanismen. Eine dieser zentralen Schutzmaßnahmen ist die Client-Isolation. Sie soll verhindern, dass Geräte, die mit demselben WLAN-Router verbunden sind, direkt miteinander kommunizieren können. Dies ist besonders in öffentlichen Netzwerken oder bei der Nutzung von Gast-SSIDs wichtig, um die Privatsphäre der Nutzer zu schützen.
Eine Gruppe von Sicherheitsforschern unter der Leitung von Xin’an Zhou hat nun eine Reihe von Angriffen entwickelt, die sie „AirSnitch“ nennen. Diese Angriffe hebeln die Client-Isolation effektiv aus. „AirSnitch durchbricht die weltweite WLAN-Verschlüsselung und hat das Potenzial, fortgeschrittene Cyberangriffe zu ermöglichen“, erklärte Zhou.
Im Gegensatz zu früheren Attacken wie KRACK, die Schwächen in den Verschlüsselungsprotokollen selbst ausnutzten, zielt AirSnitch auf eine tiefere Ebene ab: die grundlegende Funktionsweise der Netzwerk-Hardware und -Protokolle.
Wie funktioniert der AirSnitch-Angriff?
Der Kern des Angriffs liegt in der Ausnutzung einer Desynchronisation zwischen den untersten Ebenen des Netzwerkstacks, der physischen Schicht (Layer 1) und der Sicherungsschicht (Layer 2). Vereinfacht ausgedrückt, gelingt es dem Angreifer, den Router davon zu überzeugen, dass die Hardware-Adresse (MAC-Adresse) eines Zielgeräts nun ihm gehört.
Dieser Prozess, der an eine alte Angriffstechnik aus der Ethernet-Welt namens „Port Stealing“ erinnert, läuft in mehreren Schritten ab:
- Der Angreifer verbindet sich mit dem WLAN und fälscht die MAC-Adresse des Opfers.
- Der Router leitet daraufhin den für das Opfer bestimmten Datenverkehr fälschlicherweise an den Angreifer um.
- Um die Verbindung für das Opfer aufrechtzuerhalten und den Angriff unbemerkt durchzuführen, manipuliert der Angreifer die Zuordnungstabellen des Routers ständig hin und her.
Dadurch wird ein sogenannter bidirektionaler Man-in-the-Middle-Angriff (MitM) möglich. Der Angreifer sitzt quasi in der Mitte der Kommunikation, kann alle Daten einsehen und sie vor der Weiterleitung an den eigentlichen Empfänger verändern.
Betroffene Geräte
Die Forscher testeten 11 verschiedene Geräte, und alle waren für mindestens eine Variante des Angriffs anfällig. Darunter befanden sich Modelle von Netgear (Nighthawk R8000), D-LINK (DIR-3040), TP-LINK (Archer AXE75), ASUS (RT-AX57), Ubiquiti (AmpliFi Alien) und Cisco (Catalyst 9130).
Welche Risiken entstehen durch AirSnitch?
Mit der Fähigkeit, den Datenverkehr abzufangen, eröffnen sich für Angreifer zahlreiche Möglichkeiten. Die konkreten Gefahren hängen stark davon ab, ob die übertragene Information zusätzlich verschlüsselt ist.
Bei unverschlüsselten Verbindungen, wie sie teilweise noch in internen Firmennetzwerken oder beim Aufruf von Webseiten über HTTP (statt HTTPS) vorkommen, kann der Angreifer Passwörter, Zahlungsdaten und Authentifizierungs-Cookies direkt im Klartext mitlesen.
„Unsere Forschung zapft sozusagen die Leitung physisch an, sodass diese hochentwickelten Angriffe funktionieren. Es ist wirklich eine Bedrohung für die weltweite Netzwerksicherheit.“ – Xin’an Zhou, leitender Forscher.
Auch bei verschlüsselten HTTPS-Verbindungen ist die Gefahr nicht gebannt. Ein Angreifer kann immer noch die DNS-Anfragen abfangen, also die Anfragen, welche Domain (z.B. www.digirion.de) zu welcher IP-Adresse gehört. Durch sogenanntes DNS-Cache-Poisoning könnte er den Nutzer auf gefälschte Webseiten umleiten, um dort Zugangsdaten abzugreifen.
Auch Gastnetzwerke sind ein Einfallstor
Eine beunruhigende Erkenntnis der Forschung ist, dass der Angriff auch dann funktionieren kann, wenn sich Angreifer und Opfer in unterschiedlichen SSIDs (z.B. Haupt-WLAN und Gast-WLAN) befinden, solange diese über denselben Access Point (AP) laufen. „Selbst wenn das Gast-SSID einen anderen Namen und ein anderes Passwort hat, teilt es sich möglicherweise Teile der gleichen internen Netzwerkinfrastruktur wie Ihr Haupt-WLAN“, so die Forscher.
Wie können sich Nutzer schützen?
Ein Allheilmittel gegen AirSnitch gibt es derzeit nicht, da die Schwachstelle tief im Design der Netzwerkgeräte verankert ist. Einige Hersteller haben bereits damit begonnen, Firmware-Updates zu veröffentlichen, die einige der Angriffsvarianten entschärfen. Es ist daher entscheidend, die Firmware des eigenen Routers stets aktuell zu halten.
Bis umfassende Lösungen verfügbar sind, können Nutzer folgende Maßnahmen ergreifen:
- Vorsicht in öffentlichen Netzwerken: Vermeiden Sie die Nutzung von öffentlichen oder ungesicherten WLAN-Netzwerken für sensible Aktivitäten. Nutzen Sie stattdessen eine Mobilfunkverbindung (Tethering).
- Verwendung eines VPN: Ein Virtual Private Network (VPN) verschlüsselt den gesamten Datenverkehr von Ihrem Gerät und leitet ihn durch einen sicheren Tunnel. Dies bietet einen starken Schutz, da ein Angreifer selbst bei einem erfolgreichen MitM-Angriff nur verschlüsselte Daten sehen würde.
- Netzwerksegmentierung: In Unternehmensumgebungen kann eine strikte Netzwerksegmentierung mittels VLANs helfen, das Risiko zu verringern, auch wenn die Forscher zeigen, dass selbst diese Maßnahme unter bestimmten Umständen umgangen werden kann.
- Zero-Trust-Ansatz: Langfristig ist die effektivste Methode ein „Zero Trust“-Sicherheitsmodell, bei dem keinem Gerät im Netzwerk standardmäßig vertraut wird. Die Umsetzung ist jedoch komplex und für Privatanwender kaum praktikabel.
Die Entdeckung von AirSnitch zeigt erneut, dass selbst etablierte Sicherheitskonzepte immer wieder auf die Probe gestellt werden. Für Nutzer bedeutet dies, wachsam zu bleiben und grundlegende Sicherheitspraktiken konsequent anzuwenden.
