Wi-Fi

FaceNiffはどのように機能しますか?



How Does Faceniff Work



解決:

TL; DR: FaceNiffは、おそらくWPAの「Hole192」を悪用し、ARPポイズニングを使用して中間者攻撃を設定します。要するに、手順は次のとおりです。

  • Eveは、Group Temporal Key(GTK)を使用して、ネットワークのゲートウェイIPをMACアドレスとペアにしてARPパケットをネットワークに挿入します。
  • クライアントは、EveのMACアドレスを新しいゲートウェイとして登録します。
  • クライアントは、秘密鍵(PTK)で暗号化されたパケットをAPに送信しますが、Eve宛てに送信します。 (パケットは「ハブ」であるため、引き続きAPに送信する必要があります。)
  • APはパケットを復号化し、EveのPTKで再暗号化し(パケットは彼女宛てであるため)、再ブロードキャストします。パケットは、イブに対して事実上クリアテキストになりました。
  • セッションハイジャックが発生します。

The Registerの記事によると、ARP中毒が実際に関与しているように思われます。



http://www.theregister.co.uk/2011/06/03/android_cookie_stealing_app/print.html

このアプリは、ARPスプーフィングと呼ばれる手法を使用して、攻撃者のデバイスを介してローカルトラフィックをリダイレクトすることにより、WPAおよびWPA2暗号化スキームで保護されたネットワークでも機能します。ただし、攻撃者はセキュリティパスワードを知っている必要があります。



したがって、WPA2ネットワークの場合、FaceNiffは「Hole196」を悪用している可能性があります。 AirTightには、Hole 196が何であるかを正確に説明し、(以下に貼り付けて)EveがWPA2トラフィックをクリアであるかのようにスニッフィングできるように悪用する方法を説明する素晴らしい記事があります。

http://www.airtightnetworks.com/WPA2-Hole196

WPA2ネットワークでは、悪意のある内部関係者が、共有グループキー(GTK)を使用して暗号化された偽のパケット(送信機のアドレスとしてAPのMACアドレスを使用)をネットワーク内の他の許可されたWi-Fiクライアントに直接ブロードキャストします。 GTKを使用して起動できるエクスプロイトの一例は、古典的なARPポイズニング(man-in-the-middle)攻撃です(Black Hat Arsenal 2010およびDefcon18で実証されています)。



ARPポイズニングエクスプロイトでは、インサイダーは、たとえば、GTK暗号化パケット内にARP要求メッセージを含めることができます。 ARP要求には、実際のゲートウェイのIPアドレスが含まれていますが、攻撃者のマシンのMACアドレスが含まれています。このメッセージを受信するすべてのクライアントは、ARPテーブルを更新します-攻撃者のMACアドレスをゲートウェイのIPアドレスにマッピングします。

すべての「汚染された」Wi-Fiクライアントは、それぞれの秘密鍵(PTK)で暗号化されたすべてのトラフィックをAPに送信しますが、宛先は攻撃者のMACアドレスです。 APはトラフィックを復号化して攻撃者に転送し、攻撃者のPTKを使用して暗号化します。 (APから)攻撃者に到達するすべてのトラフィックは攻撃者のPTKで暗号化されるため、攻撃者はトラフィック(ログイン資格情報、電子メール、その他の機密データを含む)を復号化できます。

攻撃者は、トラフィックをネットワークの実際のゲートウェイに転送することを選択できるため、被害者のWi-Fiクライアントは異常な動作を認識せず、通信を継続できます。


WPA2 WiFiはARPポイズニングおよびスニッフィングから保護されていますか?を参照してください。 arpスプーフィングを使用したメモから、Hole196の要因が関係していることがわかります。


内部でARPスプーフィングを使用しているようです(FaceSniffの変更ログでARPについての言及がいくつかあることに気づきました)。