Mobile Geräte wie Smartphones, Tablets oder Notebooks verbinden sich gewöhnlich automatisch mit bekannten WLAN-Hotspots oder Heimroutern. Eine Komfortfunktion, die auch ein Sicherheitsrisiko birgt.

Vortäuschung bekannter WLANs

Ein Mobilgerät, das aktiv nach bekannten Verbindungen sucht, sendet Anfragen (sog. “probe requests”), ob ein bekannter Hotspot in der Nähe ist. Antwortet dieser, kann eine Verbindung zustande kommen. Angreifer lauschen im Rahmen der KARMA-Attacke nach diesen Anfrage-Paketen, lesen den Namen des gesuchten WLAN-Hotspots aus der Anfrage und erstellen selber einen Hotspot, in den sich das Opfer dann automatisch einwählt. Da der Datenverkehr so unter der Kontrolle des Angreifers ist, können Daten per Man-in-the-Middle-Angriff abgehört und manipuliert werden.

Ausnutzung allgemeiner Hotspot-Namen

Als Gegenmaßnahme scannen die Netzwerkmanager aktueller Mobilgeräte passiv. Anstatt aktiv nach bekannten Hotspots zu fragen, lauschen sie, welche Hotspots in der Nähe gerade aktiv sind. Bei diesen Geräten lässt sich der oben beschriebene Angriff deshalb so nicht mehr durchführen. Da kommt die Known-Beacons-Attacke ins Spiel: Hierbei öffnen Angreifer gewissermaßen auf Verdacht eine Vielzahl an Hotspots mit bekannten Namen. Etliche Hotelketten, Telekommunikationsdienstleister und Hotspot-Anbieter verwenden stets den gleichen Hotspot-Namen. Mit hoher Wahrscheinlichkeit sucht sich das Gerät des Opfers einen der bekannten Hotspots aus. Wieder liegt der Datenverkehr unter der Kontrolle des Angreifers.

Auf dem #34C3 hat George Chatzisofroniou von Census Labs von dieser Form der Attacke in einem Lightning Talk berichtet und eine Erweiterung des WLAN-Sicherheitstools Wifiphisher vorgestellt, die eine solche Known-Beacon-Attacke durchführen kann. Ebenfalls rief er die Community dazu auf, weitere bekannte Hotspot-Namen zu dem Projekt beizusteuern.

Gegenmaßnahmen

Um einem Known-Beacons-Angriff zu entgehen, sollten bekannte, öffentliche WLAN-Netze nach Verwendung aus dem Speicher der Mobilgeräte gelöscht werden. Auf diese Weise sucht das Gerät weder aktiv noch passiv nach dem betroffenen Netz, verbindet sich daher nicht mit ihm und kann nicht angegriffen werden. Zusätzlich sollte der Name des Heimrouters nicht auf der Werkseinstellung belassen, sondern individuell angepasst werden.