Специалисты по кибербезопасности из компании Trustwave недавно представили инструмент под названием “Snappy”, способный обнаруживать фальшивые и просто подозрительные Wi-Fi точки доступа, которые потенциально могут похитить данные у ничего не подозревающих пользователей.
Злоумышленники могут создавать поддельные точки доступа в супермаркетах, кофейнях и торговых центрах, имитируя настоящие официальные точки, установленные в этих местах. Причём не просто дублируя их название, а полностью замещая ими легитимные точки доступа. А поскольку злоумышленники полностью контролируют подобные фальшивые точки доступа, они могут перехватывать и анализировать передаваемые данные между устройствами данные, выполняя атаки типа “человек посередине”.
Исследователь Trustwave и специалист по беспроводным технологиям Том Нивс подробно объяснил в своём отчёте , что подделать MAC-адрес и SSID законных открытых точек доступа опытным хакерам не составит большого труда. Таким образом, устройства потенциальных жертв, которые уже не в первый раз посещают места с открытыми беспроводными сетями, будут автоматически переподключаться к уже мошенническим точкам доступа.
Том Нивс разработал и презентовал инструмент под названием Snappy, который решает эту проблему, помогая людям определять, является ли точка доступа, которой они пользуются в данный момент той же самой, что и в прошлый раз, или же это совсем другая точка.
Анализируя управляющие кадры Wi-Fi, Нивс обнаружил определённые статические элементы, такие как производитель, BSSID, поддерживаемые скорости, канал, страна, максимальная мощность передачи и другие, которые различаются между разными беспроводными точками доступа 802.11, но остаются постоянными для конкретной точки доступа всегда.
Исследователь решил объединить эти элементы и хешировать их с помощью SHA256, чтобы создать уникальную сигнатуру для каждой точки доступа. Данную сигнатуру затем можно использовать в качестве детектора для определения совпадений или несовпадений.
Совпадения означают, что точка доступа та же самая, а следовательно, надёжная. А вот несовпадения по сигнатуре означают, что что-то изменилось, и точка доступа может быть поддельной.
Исследователь встроил описанный выше функционал в скрипт на Python, который затем был опубликован в репозитории GitHub компании Trustwave. Разумеется, абсолютно бесплатно.
Помимо механизма для генерации SHA256-хешей беспроводных точек доступа, Snappy также может обнаруживать точки доступа, созданные с помощью Airbase-ng, инструмента, который злоумышленники часто используют для создания поддельных точек доступа, чтобы перехватывать пакеты от подключенных пользователей или даже внедрять посторонние данные в их сетевой трафик.
Запускать Python-скрипт Snappy на ноутбуках довольно просто, если Python установлен в системе, а вот владельцам мобильных устройств придётся приложить дополнительные усилия, чтобы установить специальные интерпретаторы / эмуляторы.
Владельцы устройств на Android могут использовать для запуска Snappy приложения Pydroid, QPython или Termux, когда как пользователи iOS могут выбрать между Pythonista, Carnets и Juno.
Задумка получилась отличная, поэтому будем надеяться, что Trustwave вскоре рассмотрит возможность публикации данного инструмента в более удобной форме, например, в виде нативного приложения для Android, iOS, Windows, MacOS и Linux с простым и интуитивно понятным интерфейсом для каждого.