Snappy : Un outil pour détecter les points d’accès WiFi indésirables sur les réseaux ouverts

Les attaquants peuvent créer de faux points d’accès dans les supermarchés, les cafés et les centres commerciaux, qui se font passer pour de vrais points d’accès déjà installés sur place. Ils trompent ainsi les utilisateurs en les incitant à se connecter aux points d’accès frauduleux et à transmettre des données sensibles par l’intermédiaire des appareils des attaquants.

Comme les acteurs de la menace contrôlent le routeur, ils peuvent capturer et analyser les données transférées en effectuant des attaques de type « man-in-the-middle ».

Tom Neaves, chercheur en sécurité chez Trustwave et passionné de technologie sans fil/RF, explique que l’usurpation des adresses MAC et des SSID de points d’accès légitimes sur des réseaux ouverts est triviale pour des attaquants déterminés.

Les appareils de ceux qui revisitent les emplacements des réseaux sans fil ouverts auxquels ils se sont précédemment connectés tenteront automatiquement de se reconnecter à un point d’accès sauvegardé, et leurs propriétaires seront inconscients du fait qu’ils se connectent à un appareil malveillant.

Neaves a mis au point un outil qui s’attaque à ce risque courant, en aidant les gens à détecter si le point d’accès qu’ils utilisent est le même que celui qu’ils ont utilisé la dernière fois (et à chaque fois) ou s’il s’agit d’un faux appareil ou d’un appareil malveillant.

En analysant les trames de gestion des balises, il a trouvé certains éléments statiques tels que le fournisseur, le BSSID, les taux pris en charge, le canal, le pays, la puissance d’émission maximale et d’autres éléments qui varient entre les différents points d’accès sans fil 802.11, mais qui sont constants pour un point d’accès spécifique au fil du temps.

Le chercheur a pensé qu’il pouvait concaténer ces éléments et les hacher avec SHA256 pour créer une signature unique pour chaque point d’accès, qui pourrait être utilisée par un outil d’analyse pour générer des correspondances et des non-concordances.
Les correspondances signifient que le point d’accès est le même, donc digne de confiance, tandis que les non-concordances dans la signature signifient que quelque chose a changé, et que le point d’accès pourrait être malhonnête. Cette fonctionnalité a été intégrée dans un script Python appelé Snappy qui a été publié sur le dépôt GitHub de Trustwave et mis à disposition gratuitement. En plus de générer des hachages SHA256 de points d’accès sans fil comme le fait Snappy, il peut également détecter les points d’accès créés par Airbase-ng, un outil utilisé par les attaquants pour créer de faux points d’accès afin de capturer les paquets des utilisateurs connectés ou même d’injecter des données dans le trafic de leur réseau.

L’exécution de scripts Python sur les ordinateurs portables devrait être simple tant que Python est installé, mais les utilisateurs d’appareils mobiles devront faire un effort supplémentaire pour trouver des interpréteurs et des émulateurs spécifiques .les propriétaires d’appareils Android peuvent utiliser Pydroid , QPython ,ou Termux pour exécuter des scripts Python sur leurs téléphones , tandis que les utilisateurs iOS peuvent choisir entre Pythonista ,Carnets ,et Juno . Nous espérons que Trustwave envisagera de publier bientôt cet outil utile sous une forme plus utilisable pour un public plus large.