网络安全研究人员在IEEE 802.11 WiFi协议标准的设计中发现了一个通用安全漏洞，攻击者可以利用该漏洞诱使接入点通过明文形式传输，从而泄漏数据帧的信息。

WiFi帧是由报头、数据有效载荷和报尾组成的数据容器，其中包括源和目标MAC 地址、控制和管理数据等信息。

这些帧在队列中排序并以受控方式传输以避免冲突并通过监视接收点的忙/闲状态来最大化数据交换性能。

研究人员发现，WiFi排队/缓冲的帧没有得到充分的安全保护，攻击者可以进行操纵数据传输、客户端欺骗、帧重定向和捕获。

研究者，表示针对这个漏洞的攻击影响非常广泛，可以跨各种网络设备和操作系统（Linux、FreeBSD、iOS和Android），而且可用于劫持TCP连接或拦截客户端和网络流量。

漏洞描述

IEEE 802.11标准中设计了省电机制，可以让WiFi设备通过缓冲或排队发往休眠设备的帧来节省电力。

当客户端（接收设备）进入睡眠模式时，它会向接入点发送一个帧，其帧头中包含节能位，此后所有发往它的帧都会排队等待。

一旦客户端从睡眠状态恢复，接入点（AP）就会将缓冲的帧从队列中取出，进行加密，并将它们传输到目的地。

但是，标准中没有提供对休眠排队数据帧的安全校验和管理机制，也没有设置休眠等待状态需要等待时间限制。

攻击者可以欺骗网络上设备的MAC地址，并将给接入点发送具有节能位的欺骗帧数据，让正常通讯要发往目标设备的数据帧进入休眠排队状态。然后，攻击者发送一个唤醒帧来重定向帧堆栈到自己的地址从而窃取数据包信息。

传输的帧通常使用在WiFi网络中的所有设备之间共享的组寻址加密密钥或对每个设备唯一的成对加密密钥进行加密，用于加密两个设备之间交换的帧。但是，攻击者可以通过向接入点发送身份验证和关联帧来劫持帧的安全上下文，从而迫使它以明文形式传输帧或使用攻击者提供的密钥对其进行加密。具体的攻击利用如图：

针对该漏洞研究人员开发了一个名为MacStealer的自定义工具，该工具可以测试WiFi网络的客户端隔离绕过，并在MAC层拦截发往其他客户端的流量。

研究人员报告称，已知来自Lancom、Aruba、思科、华硕和D-Link网络设备模型会受到这些攻击的影响，完整列表如下。

研究人员警告说，可以利用这个漏洞将恶意内容（比如JavaScript）注入TCP数据包。

理论上该攻击也可用于窥探流量，但由于大多数Web流量都使用TLS加密（HTTPS），因此影响有限。

思科承认缺陷

截止目前，网络设备商思科，首先承认受该WiFi协议缺陷影响。承认论文中叙述的攻击可能会成功针对思科无线接入点产品和具有无线功能的思科Meraki 产品。

同时思科表示检索到的帧不太可能危及适当保护网络的整体安全性。

思科在安全公告中表示：“这种攻击可被视为机会主义攻击，攻击者获得的信息在安全配置的网络中价值微乎其微。”

尽管如此，思科在安全公告中仍建议客户采取缓解措施，例如通过思科身份服务引擎(ISE)等系统使用策略实施机制，该系统可以通过实施思科TrustSec或软件定义访问 (SDA) 技术来限制网络访问。

“思科还建议实施传输层安全性，以尽可能加密传输中的数据，因为这会使攻击者无法使用获取的数据”。