Представьте типичный сценарий: вы подключились к Wi‑Fi в кафе, на конференции или в офисной «гостевой» сети. Пароль есть, шифрование включено, а маршрутизатор обещает изоляцию клиентов — значит, соседи по сети не увидят ваш трафик. На практике появилась группа приёмов, которая может обойти эту логику без подбора ключей и без прямого взлома WPA2/WPA3.

Источник изображения: Dreamlike Street / unsplash.com

Метод получил название AirSnitch. Его идея не в том, чтобы расшифровать трафик, а в том, чтобы заставить оборудование спутаться на самых нижних уровнях Wi‑Fi и открыть путь для атаки «человек посередине».

Где именно ломается защита

AirSnitch действует на двух нижних уровнях Wi‑Fi.

• Физический уровень: радиочасть и работа в диапазонах 2,4 и 5 ГГц.

• Канальный уровень: передача кадров в пределах сети, MAC‑адреса и механизмы клиентской изоляции.

Проблема в том, что точки доступа и маршрутизаторы не всегда жёстко «склеивают» то, что происходит на этих уровнях, с более высокими уровнями сети. В результате появляется разрыв, которым можно воспользоваться: на низком уровне устройство атакующего и устройство жертвы выглядят как разные клиенты, а на более высоком — атакующий получает возможность подменять идентичность и перехватывать потоки.

Почему это работает даже в «двух сетях» на одном роутере

Многие роутеры дают удобную схему: отдельный SSID для гостей и отдельный SSID для дома или офиса. Пользователь ожидает, что эти сети изолированы.

AirSnitch эксплуатирует нюанс, который встречается у части оборудования: обе сети могут использовать общую таблицу MAC‑адресов. Тогда даже если жертва и атакующий физически находятся в разных SSID, появляется шанс «перепрыгнуть» через границу за счёт манипуляций на низких уровнях.

Дополнительный трюк — работа в другом радиодиапазоне. Если жертва сидит на 5 ГГц, атакующий может задействовать 2,4 ГГц, и наоборот. Это помогает обойти ожидание, что «мы не пересекаемся».

Что получает атакующий

В успешном сценарии злоумышленник может просматривать и менять открытый трафик, перехватывать cookies и другие данные, которые приложения используют для аутентификации. В корпоративных и локальных сетях риск выше, потому что часть внутренних сервисов всё ещё может передавать данные без дополнительного шифрования.

Даже когда сайты и приложения используют HTTPS, остаются косвенные утечки:

• запросы к DNS, по которым можно понять, какие домены вы ищете;

• отравление DNS‑кэша, чтобы подменить адрес назначения;

• видимость IP‑адресов, по которым часто можно приблизительно восстановить, куда заходил пользователь.

«Подменить MAC» и не выдать себя: как обходят отключение жертвы

Прямая подмена MAC‑адреса обычно приводит к конфликту: сеть начинает «выкидывать» одно из устройств, и жертва замечает проблему.

В описанном подходе используются приёмы, которые помогают не сорвать соединение окончательно. Например, устройство атакующего отправляет запросы с случайного MAC‑адреса и «отвлекает» устройство жертвы короткими ICMP‑пингами. Wi‑Fi по своей природе допускает динамику клиентов: роутер воспринимает переключения как нормальную ситуацию, а атакующий может быстро чередовать состояния, периодически выдавая себя за жертву. Так и строится устойчивый канал для атаки MitM.

Почему WPA2/WPA3 не спасают автоматически

Здесь важно различать шифрование и архитектуру сети. AirSnitch не обязан расшифровывать ключи Wi‑Fi. Он обходит клиентскую изоляцию и использует разрыв между тем, как оборудование «видит» клиентов на низких уровнях, и тем, как маршрутизирует их трафик выше.

Поэтому наличие WPA2/WPA3 и даже корпоративной аутентификации само по себе не гарантирует, что такой класс атак невозможен.

Что можно сделать прямо сейчас

Универсальной «галочки» нет: уязвимость связана с особенностями чипсетов и архитектуры, и исправлять её одной прошивкой всей отрасли сложно. Но снизить риск можно.

• Разносить сети по разным VLAN так, чтобы они были действительно раздельными не только по SSID.

• Проверять настройки клиентской изоляции и не полагаться на «гостевой режим» по умолчанию.

• Использовать VPN в публичных сетях, чтобы даже перехваченный трафик не превращался в читаемые данные.

• В корпоративной среде придерживаться подхода «нулевого доверия»: считать любое соседнее устройство потенциально опасным.

Главный практический вывод: Wi‑Fi‑пароль и WPA3 — это не магический щит. Важна ещё и правильная архитектура сети. А вы чаще подключаетесь к публичным точкам доступа или стараетесь обходиться мобильным интернетом?