超级会员免费看
应对全国性WiFi安全威胁
1. WiFi安全威胁现状
如今,超过75%的移动系统最后一公里互联网流量是通过WiFi传输的,这使得WiFi不可避免地成为各种安全威胁的诱人目标。犯罪分子利用WiFi接入点(AP)的安全漏洞,进行无线流量窃听、通过DNS劫持发动网络钓鱼攻击,甚至直接通过加密劫持获利。恶意者不仅会入侵现有的WiFi AP,还会部署基于WiFi的恶意边缘设备。WiFi攻击已成为全国性的安全威胁,影响数亿用户。
为全面了解全国性WiFi威胁,我们与一个基于众包的WiFi发现和管理服务平台合作,构建了一个名为WiSC(WiFi Security Checker)的WiFi安全检查系统,并将其作为可选功能集成到该平台中。WiSC能够以前所未有的规模测量各种现实世界的WiFi威胁。
不过,WiSC在大量异构移动设备上运行时面临三个挑战:
- 没有根权限访问,因为该平台需要作为纯用户空间应用程序进行广泛部署。
- 要在保持高精度的同时实现良好的检测覆盖,这对于全面深入了解WiFi威胁生态系统至关重要。
- 不能进行长期流量监控,以避免移动设备上的资源过度消耗,并尽量减少用户的隐私担忧。
为解决这些问题,WiSC采用了一种新颖的两阶段检测流程。首先快速高效地捕获可疑攻击,然后进行更详细的审查以排除可能的误报。对于局域网(LAN)侧攻击,WiSC利用用户设备反复连接同一AP的常见场景,执行跨连接网关一致性检测,克服了传统检测方案的局限性。对于广域网(WAN)侧攻击,开发了基于跨层诱饵的检测方案,通过精心制作的诱饵数据包触发主要的WAN攻击,并综合跨层信息分析攻击风险。通过这些努力,WiSC能够在5秒内对普通安卓设备实现准确的攻击检测,网络流量消耗不到10KB。
在用户同意和完善的审查机制下,WiSC在6个月(2018年10月 - 2019年4月)内从1400万用户设备上收集了对1900万个WiFi AP的测量数据。数据分析让我们对WiFi威胁有了全面的了解,并获得了一些新的见解。
2. WiFi威胁的普遍性和风险性
在检测的WiFi AP中,有3.92%受到攻击,这一比例明显高于小规模研究报告的0.21 - 1.5%。主要原因是先前的研究忽略了一些在当前看似强化的移动操作系统和网络协议下被认为难以发动的攻击。
例如,常识认为随着HTTPS的日益普及,网页内容操纵(如广告注入)不太可能发生。但我们的研究发现,检测到的攻击中大多数(55%)仍然是广告注入。这归因于现实世界中HTTPS的普遍配置错误。我们发现,由于HTTPS配置不当,即使是配备HTTPS的流行内容提供商(如天猫、BBC和Shopify)也可能受到广告注入攻击。例如,缺乏HTTP严格传输安全(HSTS)会使HTTPS会话回退到HTTP,从而使SSL/TLS剥离攻击和广告注入成为可能。更糟糕的是,即使配备了HSTS,大多数也没有正确配置HSTS参数(如超时阈值和预加载列表)。
令人意外的是,广告注入更有可能发生在保护更好的AP上。使用强加密(WPA/WPA2)的AP中有2.3%受到广告注入攻击,而没有或使用弱加密(WEP)的AP中只有1%。这是因为加密更强的AP在统计上具有更好的互联网连接性。这表明,在面对当今复杂成熟的网络犯罪市场时,增强WiFi安全性的常见做法效果并不理想。
在局域网内,我们还发现了ARP和DHCP欺骗攻击。虽然ARP欺骗之前已有报道,但DHCP欺骗在WiFi环境中由于发动成本高,大多被认为是一种假设性的攻击形式。然而,我们的观察表明,DHCP欺骗在实践中与其他流行攻击一样可行。我们发现相当一部分(25%)的AP与用户设备的网络连接较差,而这种恶劣的网络条件会大大提高DHCP欺骗的成功率。
3. WiFi威胁背后的经济因素
我们进一步揭示了WiFi威胁背后的经济因素,即攻击者为实现利润最大化所做的关键决策。一个重要发现是,受到局域网攻击(ARP/DHCP欺骗)的AP在测量期间会出现明显的物理移动(中位数为724米),相比之下,受到广域网攻击的AP和良性AP则相当稳定(中位数分别为31米和21米)。这是因为局域网攻击在较差的局域网环境中更容易成功,但也容易引起网络管理员的警惕和防御措施,因此攻击者需要战略性地重新定位以提高成功率并逃避检测。值得注意的是,10%受到局域网攻击的AP甚至呈现出在几个位置之间转移的明显模式,形成一个或多个循环。
更令人惊讶的是,大多数攻击者不会向受害用户访问的每个网页都注入广告,而是以约17%的低概率进行广告注入。这种“低速率”攻击的原因是,高频广告注入更有可能引起用户投诉,导致AP重置、AP固件升级甚至AP断开连接,使攻击者失去被入侵的AP。因此,攻击者需要调整注入频率以实现利润最大化。我们通过数学模型对攻击者的收入进行建模,发现建模结果很好地支持了我们的假设——最大利润出现在广告注入概率为15%时,接近测量观察到的平均概率(17%)。
此外,我们对广告注入攻击的端到端分析揭示了其围绕货币化链的地下生态系统。攻击者首先从广告商那里收集广告需求,然后通过被入侵或恶意部署的AP向受害用户分发可见广告。之后,根据网络分析平台生成和签署的广告效果报告,攻击者从广告商那里获得报酬。我们发现合法的网络分析平台被攻击者滥用,但它们也是货币化链中的瓶颈,几乎所有注入的广告都通过仅四个网络分析平台进行货币化。我们将这一发现报告给了这四个平台,促使它们采取防御干预措施,有效破坏了WiFi攻击生态系统。例如,百度分析已做出回应,停止提供67%的报告广告链接,截至2020年8月,广告注入减少了49.8%。
4. WiSC系统工作流程
WiSC系统采用两阶段管道来检测LAN和WAN攻击,其工作流程如下:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([用户点击“安全检查”按钮]):::startend --> B(检索LAN信息):::process
B --> C(检查LAN信息):::process
C --> D{是否可疑}:::decision
D -->|是| E(发送诱饵IP数据包进行传输层检测):::process
D -->|否| F(结束检测):::process
E --> G{是否可疑}:::decision
G -->|是| H(进行应用层检测):::process
G -->|否| F
H --> I(检查DNS响应和诱饵网页修改):::process
I --> J(得出检测结果):::process
J --> K(加密并上传检测结果、LAN信息、诱饵响应和设备位置数据):::process
K --> L([上传至日志服务器]):::startend
5. LAN攻击检测方法
5.1 ARP欺骗检测
用户设备利用ARP将局域网中另一设备的IP地址映射到其对应的MAC地址。在ARP欺骗中,本地网络攻击者广播伪造的ARP响应消息,将自己的MAC地址与网关的IP地址关联起来。如果用户设备接受这些消息,其未来的本地网络流量将被导向攻击者而非实际网关。
我们的检测方法是检查网关的(IP, MAC)地址对的变化。当用户设备首次连接到AP时,WiSC客户端记录网关的(IP, MAC)地址对。进行安全检查时,将当前网关的(IP, MAC)地址对与记录的地址对进行比较。但这种一致性检查容易因ARP缓存淘汰而产生误报,因此在安全检查前,我们会更新用户设备的ARP缓存表,防止其影响检测结果。
如果网关的MAC地址改变但关联的IP地址保持不变,我们判定该AP受到ARP欺骗。即使上述条件不满足,若发现ARP缓存表中存在一个MAC地址映射到两个不同IP地址的情况,也判定该AP受到ARP欺骗。其工作流程如下:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([连接建立]):::startend --> B(记录(IP0, MAC0)):::process
B --> C([用户点击“安全检查”按钮]):::startend
C --> D(记录(IP1, MAC1)):::process
D --> E{MAC0 ≠ MAC1 且 IP0 = IP1}:::decision
E -->|是| F(判定为ARP欺骗):::process
E -->|否| G{是否存在一个MAC映射到两个IP}:::decision
G -->|是| F
G -->|否| H(判定为良性):::process
F --> I(结束检测):::process
H --> I
5.2 DHCP欺骗检测
当用户设备连接到AP时,会在局域网内广播DHCP发现消息以获取网关的IP地址。在DHCP欺骗中,攻击者收到这些消息后,发送伪造的DHCP提供消息,声称自己的IP地址是网关的IP地址。如果伪造消息先于合法消息到达用户设备并被接受,攻击者就能拦截其未来流量。
传统检测DHCP欺骗的方法要么在实践中不可行,要么需要根权限且会给用户设备带来巨大开销。我们设计了一种新颖的跨连接方法,将当前网关的地址对(IP1, MAC1)与上次安全连接中记录的网关地址对(IP0, MAC0)进行比较。如果网关的IP和MAC地址都发生了变化,我们怀疑该AP受到DHCP欺骗。
但这种变化也可能是网络管理员合法进行的。为排除这种可能性,我们会检查AP在上次安全连接中是否被用作网关,即检查AP的BSSID是否等于网关的MAC地址。如果是,且AP的IP地址与用户设备的IP地址在同一子网内,正常情况下MAC0应该出现在用户设备的ARP缓存表中。如果MAC0不在ARP缓存表中,我们就可以排除合法网关变更的可能性,判定该AP受到DHCP欺骗。其工作流程如下:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([连接建立]):::startend --> B(记录(IP0, MAC0)):::process
B --> C([用户点击“安全检查”按钮]):::startend
C --> D(记录(IP1, MAC1)):::process
D --> E{MAC0 ≠ MAC1 且 IP0 ≠ IP1}:::decision
E -->|是| F{AP在上次安全连接中是否为网关}:::decision
E -->|否| G(判定为良性):::process
F -->|是| H{MAC0是否在ARP缓存表中}:::decision
F -->|否| G
H -->|否| I(判定为DHCP欺骗):::process
H -->|是| G
I --> J(结束检测):::process
G --> J
综上所述,WiFi安全威胁形势严峻且复杂,WiSC系统通过创新的检测方法和流程,为应对这些威胁提供了有效的解决方案。但我们仍需持续关注WiFi安全动态,不断优化检测技术,以保障用户的网络安全。
应对全国性WiFi安全威胁
6. WAN攻击检测方案
对于广域网(WAN)攻击检测,WiSC采用了基于跨层诱饵的检测方案,具体步骤如下:
1.
传输层检测
:WiSC会向连接的AP发送精心设计的诱饵IP数据包,通过分析这些数据包的响应情况来判断AP是否存在可疑行为。如果在传输层检测中发现AP有异常响应,就会进入下一步的应用层检测。
2.
应用层检测
:对于被判定为可疑的AP,WiSC会进一步检查DNS响应以及对来自自身服务器的诱饵网页的修改情况。通过综合分析这些信息,来排除可能的误报,准确判断是否存在WAN攻击。
7. 大规模部署情况
WiSC系统借助与一个广泛使用的基于众包的WiFi发现和管理服务平台合作,实现了大规模的部署。该平台被超过8亿台安卓设备在200多个国家和地区使用,能够帮助安卓系统自动发现具有互联网连接的可访问WiFi AP。
在大规模部署过程中,WiSC系统克服了在大量异构移动设备上运行的挑战,如没有根权限访问、需要平衡检测覆盖和精度、避免长期流量监控等问题。通过合理的设计和优化,WiSC能够有效地在众多移动设备上运行,并收集到大量关于WiFi AP的安全数据。
8. 检测结果分析
通过对收集到的1400万用户设备对1900万个WiFi AP的测量数据进行分析,我们得到了一系列有价值的结果,具体如下表所示:
| 检测指标 | 检测结果 |
| — | — |
| 受攻击的AP比例 | 3.92% |
| 广告注入攻击占比 | 55% |
| 强加密AP广告注入比例 | 2.3% |
| 弱加密或无加密AP广告注入比例 | 1% |
| 存在网络连接问题的AP比例 | 25% |
从这些数据中我们可以看出,WiFi安全威胁的实际情况与我们的常规认知存在较大偏差。例如,广告注入攻击在实际中仍然非常普遍,而且在强加密的AP上也有较高的发生率。同时,相当一部分AP存在网络连接问题,这也为各种攻击提供了可乘之机。
9. 防御建议
基于上述研究和分析,我们为用户和网络管理员提供以下防御WiFi安全威胁的建议:
-
用户方面
- 尽量避免连接不明来源的WiFi AP,尤其是在公共场合。如果必须连接,要先向相关场所的工作人员确认WiFi的真实性和安全性。
- 及时更新设备的操作系统和应用程序,以修复可能存在的安全漏洞。
- 注意观察上网过程中的异常情况,如网页加载缓慢、出现不明广告等,一旦发现异常应立即断开WiFi连接。
-
网络管理员方面
- 正确配置HTTPS,启用HTTP严格传输安全(HSTS),并合理设置HSTS参数,如超时阈值和预加载列表,以防止SSL/TLS剥离攻击和广告注入。
- 加强对AP的安全管理,定期更新AP的固件,确保其安全性。
- 监控网络流量,及时发现和处理异常的网络行为,如ARP和DHCP欺骗攻击。
10. 未来展望
虽然WiSC系统在应对全国性WiFi安全威胁方面取得了一定的成果,但WiFi安全领域仍然面临着许多挑战和不确定性。随着技术的不断发展,攻击者可能会采用更加复杂和隐蔽的攻击手段,因此我们需要持续关注WiFi安全动态,不断改进和优化检测技术。
未来,我们可以考虑以下几个方面的发展:
-
技术创新
:探索新的检测方法和技术,如利用人工智能和机器学习算法来提高检测的准确性和效率,能够更快速地识别新型的WiFi安全威胁。
-
加强合作
:与更多的网络安全机构、设备制造商和服务提供商合作,共享安全信息和资源,形成更加完善的WiFi安全防护体系。
-
用户教育
:加强对用户的网络安全意识教育,提高用户对WiFi安全威胁的认识和防范能力,让用户在使用WiFi时能够更加谨慎和安全。
总之,应对WiFi安全威胁是一个长期而艰巨的任务,需要我们不断努力和创新,以保障用户的网络安全和隐私。通过持续的研究和实践,我们相信能够更好地应对未来可能出现的各种WiFi安全挑战。
扫一扫
1363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
