本文目录
Toggle美国加州大学河滨分校(UC Riverside)与比利时鲁汶大学(KU Leuven)DistriNet 研究团队,于 2026 年 2 月 25 日在圣地牙哥举办的 NDSS Symposium 2026 上,正式发表研究论文《AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks》,揭露一种影响很广泛的新型 Wi-Fi 攻击手法。
这项攻击命名为「AirSnitch」,其关键之处在于它不是破解 Wi-Fi 加密,而是从更底层的网路结构下手,绕过加密的防护。
不是破解,是「绕过」
现有的 Wi-Fi 安全规范(WPA2 与 WPA3)在设计上假设,同一网路内的不同装置之间会透过「用户隔离」(Client Isolation)机制相互屏蔽,让 A 装置无法直接看到 B 装置的流量。这是企业网路、饭店 Wi-Fi、咖啡厅热点等环境中保护使用者的基本防线。
AirSnitch 的攻击目标就是这道防线。
研究人员发现,Wi-Fi 标准在设计时,并未在第 1 层(实体层)的连接埠映射、第 2 层(资料链路层)的 MAC 位址,以及第 3 层(网路层)的 IP 位址之间建立密码学绑定关系。这个结构性缺陷,使得攻击者得以冒充受害者装置的身份,让接入点(AP)误将原本应传送给受害者的流量,改为传送给攻击者。
AirSnitch 透过三种技术手段发动攻击:
- MAC 位址伪冒(Downlink 劫持):攻击者伪造受害者的 MAC 位址,欺骗 AP 将下行流量(从路由器传往受害装置的资料)转交给自己
- 连接埠窃取(Port Stealing):攻击者以受害者 MAC 位址关联至另一个 BSSID,使 AP 的内部交换逻辑重新绑定连接埠,受害者流量因此以攻击者的加密金钥加密后传送
- 闸道冒充(Uplink 劫持):攻击者伪装成内部闸道设备,截取受害者对外传送的上行流量
这三种手法合计,形成完全双向的中间人攻击能力。攻击者可同时拦截、查看与窜改受害者的所有进出流量。
哪些设备受影响?几乎全灭
研究人员针对多款市售路由器与韧体进行测试,结果都是会受到攻击。受测设备包括:
- Netgear Nighthawk x6 R8000
- Tenda RX2 Pro
- D-LINK DIR-3040
- TP-Link Archer AXE75
- Asus RT-AX57
- 开源韧体 DD-WRT v3.0-r44715 与 OpenWrt 24.10
此外,研究人员亦在两所大学的企业级网路环境中成功重现攻击。证实了 AirSnitch 并非针对特定品牌或型号的漏洞,而是 Wi-Fi 网路协议在架构层面的根本性缺陷,不论是家用、商用或企业环境,只要采用现行 Wi-Fi 标准,均在攻击范围之内。
就算有 HTTPS,也不能高枕无忧
许多使用者认为,只要浏览器显示「上锁的图」( HTTPS),资料就是安全的。但 AirSnitch 能做出多个绕过 HTTPS 的路径。
对于仍以明文传输的流量,包括大量企业内部网路的 HTTP 流量,攻击者可直接读取密码、身份验证 Cookie、支付卡资讯等敏感资料,甚至即时窜改内容。
对于 HTTPS 加密的连线,攻击者虽无法直接解密内容,但仍能:拦截 DNS 查询流量,得知受害者正在访问哪些网域;透过目标网站的外部 IP 位址,往往可回推至具体的 URL。
更进一步,可透过 DNS 快取投毒(DNS Cache Poisoning),在受害者的作业系统 DNS 快取中植入伪造纪录,再搭配 SSL 剥夺(SSL Stripping)技术,最终骗使受害者在看似安全的页面上交出帐号密码。
风险最高的,就是公共 Wi-Fi,以后在咖啡店工作要小心了。
