安全研究人員揭露一種名為「AirSnitch」的新型 Wi-Fi 攻擊技術,可在不破解現有 WPA2/WPA3 加密的情況下,透過操控網路底層繞過用戶隔離機制,對目標裝置發動完全雙向的中間人攻擊(MitM)。
(前情提要:北韓駭客軍團拉撒路 Lazarus 的背後故事:如何用鍵盤犯下 Web3 最大搶案 )
(背景補充:AI 助攻犯罪!駭客靠 Anthropic Claude 輕鬆入侵墨西哥政府,偷走 150GB 敏感資料 )
美國加州大學河濱分校(UC Riverside)與比利時魯汶大學(KU Leuven)DistriNet 研究團隊,於 2026 年 2 月 25 日在聖地牙哥舉辦的 NDSS Symposium 2026 上,正式發表研究論文《AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks》,揭露一種影響很廣泛的新型 Wi-Fi 攻擊手法。
這項攻擊命名為「AirSnitch」,其關鍵之處在於它不是破解 Wi-Fi 加密,而是從更底層的網路結構下手,繞過加密的防護。
不是破解,是「繞過」
現有的 Wi-Fi 安全規範(WPA2 與 WPA3)在設計上假設,同一網路內的不同裝置之間會透過「用戶隔離」(Client Isolation)機制相互屏蔽,讓 A 裝置無法直接看到 B 裝置的流量。這是企業網路、飯店 Wi-Fi、咖啡廳熱點等環境中保護使用者的基本防線。
AirSnitch 的攻擊目標就是這道防線。
研究人員發現,Wi-Fi 標準在設計時,並未在第 1 層(實體層)的連接埠映射、第 2 層(資料鏈路層)的 MAC 位址,以及第 3 層(網路層)的 IP 位址之間建立密碼學綁定關係。這個結構性缺陷,使得攻擊者得以冒充受害者裝置的身份,讓接入點(AP)誤將原本應傳送給受害者的流量,改為傳送給攻擊者。
AirSnitch 透過三種技術手段發動攻擊:
- MAC 位址偽冒(Downlink 劫持):攻擊者偽造受害者的 MAC 位址,欺騙 AP 將下行流量(從路由器傳往受害裝置的資料)轉交給自己
- 連接埠竊取(Port Stealing):攻擊者以受害者 MAC 位址關聯至另一個 BSSID,使 AP 的內部交換邏輯重新綁定連接埠,受害者流量因此以攻擊者的加密金鑰加密後傳送
- 閘道冒充(Uplink 劫持):攻擊者偽裝成內部閘道設備,截取受害者對外傳送的上行流量
這三種手法合計,形成完全雙向的中間人攻擊能力。攻擊者可同時攔截、查看與竄改受害者的所有進出流量。
哪些設備受影響?幾乎全滅
研究人員針對多款市售路由器與韌體進行測試,結果都是會受到攻擊。受測設備包括:
- Netgear Nighthawk x6 R8000
- Tenda RX2 Pro
- D-LINK DIR-3040
- TP-Link Archer AXE75
- Asus RT-AX57
- 開源韌體 DD-WRT v3.0-r44715 與 OpenWrt 24.10
此外,研究人員亦在兩所大學的企業級網路環境中成功重現攻擊。證實了 AirSnitch 並非針對特定品牌或型號的漏洞,而是 Wi-Fi 網路協議在架構層面的根本性缺陷,不論是家用、商用或企業環境,只要採用現行 Wi-Fi 標準,均在攻擊範圍之內。
就算有 HTTPS,也不能高枕無憂
許多使用者認為,只要瀏覽器顯示「上鎖的圖」( HTTPS),資料就是安全的。但 AirSnitch 能做出多個繞過 HTTPS 的路徑。
對於仍以明文傳輸的流量,包括大量企業內部網路的 HTTP 流量,攻擊者可直接讀取密碼、身份驗證 Cookie、支付卡資訊等敏感資料,甚至即時竄改內容。
對於 HTTPS 加密的連線,攻擊者雖無法直接解密內容,但仍能:攔截 DNS 查詢流量,得知受害者正在訪問哪些網域;透過目標網站的外部 IP 位址,往往可回推至具體的 URL。
更進一步,可透過 DNS 快取投毒(DNS Cache Poisoning),在受害者的作業系統 DNS 快取中植入偽造紀錄,再搭配 SSL 剝奪(SSL Stripping)技術,最終騙使受害者在看似安全的頁面上交出帳號密碼。
風險最高的,就是公共 Wi-Fi,以後在咖啡店工作要小心了。
📍相關報導📍
北韓駭客軍團拉撒路 Lazarus 的背後故事:如何用鍵盤犯下 Web3 最大搶案
