30-10-2015, 16:04 door Anoniem (TheYOSH): In nieuwe versies van Android wordt ook het MAC adres opgeslagen bij de SSID naam. Dus als de SSID naam in de lucht is, maar een andere MAC, dan zal android daar geen verbinding mee maken tenzij je dat met de hand doet.
iPhone doet deze check volgens mij niet en is dus kwetsbaar.
En ja, MAC adres is ook te spoofen, maar zolang de telefoon deze niet mee geeft in de zoekopdracht van een SSID, kan niemand het juiste MAC adres spoofen.
De meeste draadloze devices maken verbinding met het accesspoint met het sterkste signaal. Als ik jou bij MacDonalds binnen zie internetten, neem ik, naast het SSID van die MacDonalds vestiging, ook het MAC adres over. Daarna ga ik voor jouw deur staan met mijn "MacDonalds" PineApple met een lekker sterk signaal en schiet jouw verbinding met jouw modem/router/access point in de meterkast uit de lucht met deauthentication (deassociation) packets, en neem zo jouw verbinding over (jouw portable device denk dat je nu verbinding hebt met MacDonalds, maar zie jij dat ook?).
Zie bijv. het bovenste plaatje in
https://github.com/sophron/wifiphisher en mijn eerdere bijdrage in
https://www.security.nl/posting/438682/NS%3A+wifi+in+de+trein+ongeschikt+voor+internetbankieren#posting438717.
Verder lijkt mij dit mechanisme erg lastig bij roaming (ik vermoed, maar weet dat niet zeker, dat daarbij elk access point hetzelfde SSID uitzendt en je met dezelfde credentials aanlogt, maar dat wel elk access point zijn eigen MAC adres gebruikt).
30-10-2015, 16:08 door Anoniem: 30-10-2015, 15:40 door Erik van Straten: Voor zover ik weet (correct me if I'm wrong!) bestaat er nog geen Wi-Fi/WLAN standaard waarbij het access point zich authenticeert.
Dit bestaat al heel lang en heet 802.1X. Net als bij SSL/TLS wordt dat gebruikt om de partij waarmee verbonden wordt te authenticeren.
Daar heb je een RADIUS server bij nodig en die kun je inderdaad van een certificaat voorzien (de check daarop is echter optioneel). Het primaire doel van IEEE 802.1X is echter client authenticatie; zodra de RADIUS server dat verzorgd heeft, geeft de draadloze router jou internettoegang.
Het probleem is dat authenticatie van het
access point geen onderdeel is van de Wi-Fi standaard; RADIUS servers zullen nooit door thuisgebruikers en waarschijnlijk nooit door MacDonalds en NS gebruikt worden. En, zolang er op jouw portable device nog één of meer access point records opgeslagen zijn, bestaande uit een SSID met daarbij
geen wachtwoord of een
bekend wachtwoord + de instelling "verbind automatisch zodra binnen bereik", ben je kwetsbaar voor MitM aanvallen.
Het wachten is op een Wi-Fi/WLAN/draadloze standaard waarbij een erkend certificaat het access point authenticeert. Voor thuisgebruik en MKB volstaat een self-signed certificaat (of losse public key) met key-pinning (TOFU = Trust On First Use). Als je vervolgens jouw portable device zo kunt instellen dat deze uitsluitend automatisch verbindt met zichzelf authenticerende access points (en andere handmatig, maar je weet dan dat je op dat moment kwetsbaar bent), zou de (draadloze) wereld een stuk veiliger zijn.