AirSnitch: مهاجمة عزل عملاء Wi-Fi وشبكات الضيوف

كيف تهدد مجموعة الثغرات الأمنية AirSnitch شبكات الشركات، وما التغييرات التي يجب عليك إجراؤها في بنية الشبكة وإعداداتها لتبقى محميًّا.

كيف تهدد مجموعة الثغرات الأمنية AirSnitch شبكات الشركات، وما التغييرات التي يجب عليك إجراؤها في بنية الشبكة وإعداداتها لتبقى محميًّا.

في ندوة NDSS Symposium 2026 التي عُقدت في مدينة سان دييغو خلال شهر فبراير، استعرضت مجموعة من الباحثين المرموقين دراسة كشفت عن هجوم AirSnitch، الذي يتجاوز ميزة عزل عملاء Wi-Fi؛ المعروفة أيضًا باسم شبكة الضيوف أو عزل الأجهزة. ويتيح هذا الهجوم الاتصال بشبكة لاسلكية واحدة عبر نقطة وصول، ثم الوصول إلى الأجهزة المتصلة الأخرى، بما في ذلك الأجهزة التي تستخدم معرفات مجموعة خدمة (SSIDs) مختلفة تمامًا على الأجهزة نفسها. ويمكن أن تكون الأجهزة المستهدفة تعمل بسهولة ضمن شبكات لاسلكية فرعية محمية ببروتوكولات WPA2 أو WPA3. ولا يكسر الهجوم فعليًّا التشفير؛ بل يستغل الطريقة التي تتعامل بها نقاط الوصول مع مفاتيح المجموعة وتوجيه الحزم.

من الناحية العملية، يعني هذا أن شبكة الضيوف لا تقدم سوى القليل جدًّا من الأمان الحقيقي. وإذا كانت شبكات الضيوف والموظفين تعمل على الجهاز المادي نفسه، فإن هجوم AirSnitch يسمح للمهاجم المتصل بحقن حركة مرور ضارة في معرفات مجموعة الخدمة (SSIDs) المجاورة. وفي بعض الحالات، يمكن للمهاجمين تنفيذ هجوم الوسيط (MitM) كامل الأركان.

أمان شبكات Wi-Fi ودور العزل

يتطور أمأن شبكات Wi-Fi باستمرار؛ ففي كل مرة يتم فيها شن هجوم عملي ضد أحدث جيل من وسائل الحماية، يتجه القطاع نحو خوارزميات وإجراءات أكثر تعقيدًا. وبدأت هذه الدورة بهجمات FMS التي استُخدمت لاختراق مفاتيح تشفير WEP، وتستمر حتى يومنا هذا؛ ومن الأمثلة الحديثة على ذلك هجمات KRACK على بروتوكول WPA2، وهجمات FragAttacks التي أثرت على جميع إصدارات بروتوكولات الأمان بدءًا من WEP وصولًا إلى WPA3.

إن مهاجمة شبكات Wi-Fi الحديثة بفعالية (وبهدوء) ليس بالأمر الهين. ويتفق معظم المتخصصين على أن استخدام بروتوكولات WPA2/WPA3 مع مفاتيح معقدة وفصل الشبكات بناءً على الغرض منها يعد كافيًا عادةً للحماية. ومع ذلك، فإن الخبراء فقط هم من يعلمون أن عزل العملاء لم يتم توحيده فعليًّا ضمن بروتوكولات IEEE 802.11. ,تطبق الشركات المصنعة المختلفة ميزة العزل بطرق متفاوتة تمامًا؛ سواء باستخدام الطبقة الثانية أو الطبقة الثالثة من بنية الشبكة؛ بعبارة أخرى، تتم معالجتها إما على مستوى جهاز التوجيه أو مستوى وحدة تحكم Wi-Fi – وهذا يعني أن سلوك الشبكات الفرعية المعزولة يختلف اختلافًا كبيرًا اعتمادًا على طراز نقطة الوصول أو جهاز التوجيه الخاص بك.

في حين تزعم الادعاءات التسويقية أن عزل العملاء يعد حلًّا مثاليًّا لمنع ضيوف المطاعم أو الفنادق من مهاجمة بعضهم بعضًا — أو لضمان عدم وصول زوار الشركات إلى أي شيء سوى الإنترنت — فإن الواقع يظهر أن هذا العزل يعتمد غالبًا على افتراض عدم محاولة الأشخاص اختراقه. وهذا بالضبط ما تسلط أبحاث AirSnitch الضوء عليه.

أنواع هجمات AirSnitch

لا يشير اسم AirSnitch إلى ثغرة أمنية واحدة فحسب، بل إلى عائلة كاملة من العيوب الهيكلية الموجودة في نقاط وصول Wi-Fi. ويمثل الاسم أيضًا أداة مفتوحة المصدر تُستخدم لاختبار أجهزة التوجيه بحثًا عن نقاط الضعف المحددة هذه. ومع ذلك، يجب على محترفي الأمان أن يضعوا في اعتبارهم أن هناك خيطًا رفيعًا جدًا يفصل بين الاختبار والهجوم.

يتبع هذا النمط من الهجمات نموذجًا موحدًا: حيث يتصل عميل خبيث بنقطة وصول (AP) تكون فيها ميزة العزل مفعلة. ويكون المستخدمون الآخرون — أي الأهداف — متصلين بمعرف SSID نفسه أو حتى بمعرفات SSID مختلفة على نقطة الوصول ذاتها. ويعد هذا السيناريو واقعيًا جدًا؛ فعلى سبيل المثال، قد تكون شبكة الضيوف مفتوحة وغير مشفرة، أو قد يتمكن المهاجم ببساطة من الحصول على كلمة مرور Wi-Fi الخاصة بالضيوف من خلال التظاهر بأنه زائر شرعي.

بالنسبة لبعض هجمات AirSnitch، يحتاج المهاجم إلى معرفة عنوان MAC أو IP الخاص بالضحية مسبقًا.  وفي النهاية، تعتمد مدى فعالية كل هجوم على الشركة المصنعة للجهاز (سنتناول المزيد حول ذلك أدناه).

هجوم GTK

بعد إتمام عملية المصافحة في بروتوكولات WPA2/WPA3، تتفق نقطة الوصول والعملاء على مفتاح مجموعة مؤقت (GTK) للتعامل مع حركة مرور البث. وفي هذا السيناريو، يقوم المهاجم بتغليف الحزم الموجهة لضحية معينة داخل غلاف حركة مرور بث. ثم يرسلها مباشرة إلى الضحية مع تزييف عنوان MAC الخاص بنقطة الوصول. ولا يسمح هذا الهجوم إلا بحقن حركة المرور، مما يعني أن المهاجم لن يتلقى ردًا. ومع ذلك، يعد ذلك كافيًا لإرسال إعلانات توجيه ICMPv6 خبيثة، أو رسائل DNS وARP إلى العميل؛ مما يعني تجاوز العزل فعليًا. ويعد هذا الإصدار الأكثر شمولاً من الهجوم، حيث يعمل على أي شبكة WPA2/WPA3 تستخدم مفتاح مجموعة مؤقتًا (GTK) مشتركًا. ومع ذلك، تدعم بعض نقاط الوصول المخصصة للمؤسسات عشوائية مفتاح مجموعة مؤقت (GTK) لكل عميل على حدة، مما يجعل هذه الطريقة تحديدًا غير فعالة.

إعادة توجيه حزمة البث

لا يتطلب هذا الإصدار من الهجوم حتى مصادقة المهاجم لدى نقطة الوصول أولاً. ويرسل المهاجم حزمًا إلى نقطة الوصول (AP) بعنوان وجهة بث (FF:FF:FF:FF:FF:FF) مع ضبط علامة ToDS على القيمة 1.  ونتيجة لذلك، تتعامل العديد من نقاط الوصول مع هذه الحزمة على أنها حركة مرور بث شرعية؛ فتقوم بتشفيرها باستخدام مفتاح المجموعة المؤقت (GTK)، وبثها إلى كل عميل على الشبكة الفرعية، بما في ذلك الضحية. وكما هو الحال في الطريقة السابقة، يمكن تغليف حركة المرور المخصصة لضحية واحدة تحديدًا داخل هذه الحزمة مسبقًا.

إعادة توجيه جهاز التوجيه

يستغل هذا الهجوم ثغرة هيكلية بين أمن الطبقة الثانية والطبقة الثالثة الموجودة في أجهزة بعض الشركات المصنعة. ويرسل المهاجم حزمة إلى نقطة الوصول، مع تعيين عنوان IP الخاص بالضحية كوجهة في طبقة الشبكة (L3).  ومع ذلك، يتم تعيين الوجهة في الطبقة اللاسلكية (L2) على عنوان MAC الخاص بنقطة الوصول نفسها، وبالتالي لا يتم تفعيل مرشح العزل. وبعد ذلك، يقوم نظام التوجيه الفرعي (L3) بتوجيه الحزمة بأمانة إلى الضحية، متجاوزًا عزل الطبقة الثانية بالكامل. وكما هو الحال في الأساليب السابقة، يعد هذا هجومًا آخر مقتصرًا على الإرسال فقط، حيث لا يستطيع المهاجم رؤية الرد.

سرقة المنافذ لاعتراض الحزم

يتصل المهاجم بالشبكة باستخدام نسخة منتحلة من عنوان MAC الخاص بالضحية، ويغمر الشبكة باستجابات ARP تدعي أن “عنوان MAC هذا موجود على المنفذ ومعرف SSID الخاص بي”.  وبناءً على ذلك، يقوم جهاز توجيه الشبكة المستهدفة بتحديث جداول MAC لديه، ويبدأ في إرسال حركة مرور الضحية إلى هذا المنفذ الجديد بدلاً من ذلك. ونتيجة لذلك، تنتهي حركة المرور الموجهة للضحية عند المهاجم – حتى لو كان الضحية متصلاً بمعرف SSID مختلف تمامًا.

في السيناريو الذي يتصل فيه المهاجم عبر شبكة مفتوحة وغير مشفرة، يعني هذا أن حركة المرور الموجهة لعميل على شبكة محمية ببروتوكول WPA2/WPA3 يتم بثها فعليًا في الهواء الطلق؛ حيث لا يقتصر الأمر على المهاجم فحسب، بل يمكن لأي شخص قريب اعتراضها وتحليلها.

سرقة المنفذ لإرسال الحزم

في هذا الإصدار، يتصل المهاجم مباشرة بمحول Wi-Fi الخاص بالضحية، ويغمره بطلبات ARP تنتحل عنوان MAC الخاص بنقطة الوصول. ونتيجة لذلك، يبدأ كمبيوتر الضحية في إرسال حركة المرور الصادرة منه إلى المهاجم بدلاً من إرسالها إلى الشبكة. ومن خلال تشغيل كلا هجومي السرقة في وقت واحد، يمكن للمهاجم، في عدة سيناريوهات، تنفيذ هجوم الوسيط (MitM) كامل الأركان.

العواقب العملية لهجمات AirSnitch

من خلال الجمع بين العديد من التقنيات المذكورة أعلاه، يمكن للمخترق تنفيذ بعض الخطوات الخطيرة للغاية:

  • اعتراض كامل لحركة المرور ثنائية الاتجاه لتنفيذ هجوم “الوسيط” (MitM). وهذا يعني قدرة المهاجم على خطف وتعديل البيانات التي تنتقل بين الضحية ونقطة الوصول دون أن تدرك الضحية ذلك أبدًا.
  • التنقل بين معرفات SSID. يمكن للمهاجم الموجود على شبكة الضيوف الوصول إلى الأجهزة المضيفة على شبكة الشركات المؤمنة والمغلقة، وذلك في حال كان كلاهما يعمل عبر نقطة الوصول المادية نفسها.
  • الهجمات على بروتوكول RADIUS. نظرًا لأن العديد من الشركات تعتمد على مصادقة RADIUS لشبكات Wi-Fi الخاصة بها، يمكن للمهاجم تزييف عنوان MAC الخاص بنقطة الوصول لاعتراض حزم مصادقة RADIUS الأولية. ومن هناك، يمكنه استخدام الهجوم بالتخمين لاستنتاج الرقم السري المشترك. وبمجرد الحصول عليه، يستطيع المهاجم تشغيل خادم RADIUS ونقطة وصول مارقة لاختطاف البيانات من أي جهاز يتصل بها.
  • كشف البيانات غير المشفرة من الشبكات الفرعية “الآمنة”: يمكن إعادة إرسال حركة المرور — التي يُفترض إرسالها إلى عميل تحت حماية بروتوكول WPA2/WPA3 — عبر شبكة ضيوف مفتوحة، حيث يتم بثها فعليًا ليتمكن أي شخص من التقاطها.

لتنفيذ هذه الهجمات بفعالية، يحتاج المخترق إلى جهاز قادر على إرسال واستقبال البيانات في وقت واحد مع كل من محول الضحية ونقطة الوصول. وفي السيناريوهات الواقعية، يعني هذا عادةً استخدام كمبيوتر محمول مزود بمحولي Wi-Fi يعملان بمشغلات Linux مهيأة خصيصًا لهذا الغرض. ومن الجدير بالذكر أن الهجوم ليس صامتًا تمامًا؛ فهو يتطلب سيلاً من حزم ARP، وقد يتسبب في حدوث أعطال فنية وجيزة في شبكة Wi-Fi عند بدئه، كما قد تنخفض سرعات الشبكة بشكل حاد لتصل إلى حوالي 10 ميجابت في الثانية. ورغم هذه المؤشرات التحذيرية، فإنه لا يزال يمثل تهديدًا عمليًا للغاية في العديد من البيئات.

الأجهزة المعرضة للاختراق

كجزء من الدراسة، خضعت العديد من أجهزة التوجيه ونقاط الوصول المخصصة للمؤسسات والمنازل للاختبار. وتضمنت القائمة منتجات من شركات Cisco وNetgear وUbiquiti وTenda وD-Link وTP-Link وLANCOM وASUS، بالإضافة إلى أجهزة توجيه تعمل بأنظمة تشغيل مجتمعية شهيرة مثل DD-WRT وOpenWrt. وكانت جميع الأجهزة التي خضعت للاختبار بلا استثناء عرضة لبعض الهجمات الموضحة هنا على الأقل. وما يثير القلق بشكل أكبر هو أن جهازي D-Link DIR-3040 وLANCOM LX-6500 كانا عرضة لجميع أنواع هجمات AirSnitch دون استثناء.

من المثير للاهتمام أن بعض أجهزة التوجيه كانت مزودة بآليات حماية حظرت الهجمات، على الرغم من أن العيوب الهيكلية الأساسية كانت لا تزال موجودة. على سبيل المثال، يقطع جهاز Tenda RX2 Pro تلقائيًا اتصال أي عميل يظهر عنوان MAC الخاص به على معرفي BSSID في وقت واحد، مما يؤدي فعليًا إلى إيقاف عملية سرقة المنفذ.

يؤكد الباحثون أن على أي مسؤول شبكة أو فريق لأمان تكنولوجيا معلومات يولي اهتمامًا جديًا بالدفاع، ضرورة اختبار تكويناتهم الخاصة. وهذه هي الطريقة الوحيدة لتحديد التهديدات ذات الصلة بإعدادات مؤسستك بدقة.

كيفية حماية شبكة شركتك من هجمات AirSnitch

يمثل هذا التهديد خطرًا مباشرًا للغاية على المؤسسات التي تشغل شبكات Wi-Fi الخاصة بالضيوف وشبكات الشركات على نقاط الوصول نفسها دون استخدام تقنية تقسيم VLAN الإضافية. وتوجد كذلك مخاطر جسيمة على الشركات التي تستخدم بروتوكول RADIUS بإعدادات قديمة أو أرقام سرية مشتركة ضعيفة للمصادقة اللاسلكية.

الخلاصة هي أننا بحاجة إلى التوقف عن اعتبار عزل العملاء في نقاط الوصول إجراءً أمنيًا حقيقيًا، والبدء في النظر إليه كونه مجرد ميزة لتحقيق الراحة. ويجب التعامل مع الأمان الحقيقي بشكل مختلف:

  • قم بتقسيم الشبكة باستخدام شبكات VLAN. يجب أن يكون لكل معرف SSID شبكة VLAN خاصة به، مع الالتزام بتطبيق صارم لوسم الحزم بمعيار 802.1Q على طول المسار من نقطة الوصول وصولاً إلى جدار الحماية أو جهاز التوجيه
  • نفذ فحصًا أكثر صرامة للحزم على مستوى التوجيه — اعتمادًا على قدرات الأجهزة. وتساعد ميزات مثل الفحص الديناميكي لبروتوكول ARP، واستقصاء بروتوكول DHCP، وتقييد عدد عناوين MAC لكل منفذ، في الدفاع ضد انتحال عناوين IP/MAC.
  • قم بتمكين مفاتيح GTK فردية لكل عميل، إذا كانت أجهزتك تدعم ذلك.
  • استخدم إعدادات RADIUS و802.1X أكثر مرونة وقوة، بما في ذلك مجموعات تشفير حديثة وكلمات سرية مشتركة قوية.
  • سجل وحلل الأنشطة غير الطبيعية في مصادقة EAP/RADIUS ضمن نظام SIEM الخاص بك. ويساعد هذا الإجراء في تتبع العديد من محاولات الهجوم التي تتجاوز مجرد هجمات AirSnitch. وتتضمن المؤشرات التحذيرية الأخرى التي يجب مراقبتها: ظهور عنوان MAC نفسه على معرفات SSID مختلفة، أو الارتفاعات المفاجئة في طلبات ARP، أو تنقل العملاء بشكل سريع بين معرفات BSSID أو شبكات VLAN.
  • طبق الأمان في مستويات أعلى من هيكلية الشبكة. وتفقِد العديد من هذه الهجمات تأثيرها إذا نفذت المؤسسة بروتوكولات TLS وHSTS بشكل شامل لكافة بيانات التطبيقات التجارية، أو فرضت استخدام اتصال VPN نشط لجميع اتصالات Wi-Fi، أو تبنت بالكامل بنية انعدام الثقة.

لصوص العملات المشفرة يُكثفون هجماتهم على مستخدمي Apple

اكتشفنا أكثر من عشرين تطبيقًا للتصيد الاحتيالي تقلد محافظ العملات المشفرة الشهيرة في متجر App Store الرسمي. وإليكم تحليل لموجات الهجمات الجديدة التي تستهدف مستخدمي iPhone وMac  ومقتنياتهم من العملات المشفرة.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى