Snappy: Uma ferramenta para detectar pontos de acesso WiFi falsos em redes abertas
3 de Julho de 2023

Pesquisadores de cibersegurança lançaram uma nova ferramenta chamada 'Snappy' que pode ajudar a detectar pontos de acesso WiFi falsos ou maliciosos que tentam roubar dados de pessoas desprevenidas.

Atacantes podem criar pontos de acesso falsos em supermercados, cafeterias e shoppings que se passam por pontos reais já estabelecidos no local.

Isso é feito para enganar os usuários a se conectarem aos pontos de acesso maliciosos e transmitirem dados sensíveis através dos dispositivos dos atacantes.

Como os atores ameaçadores controlam o roteador, eles podem capturar e analisar os dados transferidos através de ataques de homem do meio.

O pesquisador de segurança e entusiasta de tecnologia wireless/RF da Trustwave, Tom Neaves, explica que falsificar o endereço MAC e o SSID de pontos de acesso legítimos em redes abertas é trivial para atacantes determinados.

Os dispositivos daqueles que revisitam os locais de redes sem fio abertas às quais se conectaram anteriormente tentarão se reconectar automaticamente a um ponto de acesso salvo, e seus proprietários estarão inconscientes de que estão se conectando a um dispositivo malicioso.

Neaves desenvolveu uma ferramenta que aborda esse risco comum, ajudando as pessoas a detectarem se o ponto de acesso que estão usando é o mesmo que usaram da última vez (e todas as vezes) ou se pode ser um dispositivo falso ou malicioso.

Ao analisar os quadros de gerenciamento de beacon, ele encontrou certos elementos estáticos, como o fabricante, BSSID, taxas suportadas, canal, país, potência máxima de transmissão e outros que variam entre diferentes pontos de acesso sem fio 802.11, mas são consistentes para um ponto de acesso específico ao longo do tempo.

O pesquisador percebeu que poderia concatenar esses elementos e hashá-los com SHA256 para criar uma assinatura única para cada ponto de acesso, que poderia ser usada por uma ferramenta de scanner para gerar correspondências e divergências.

Correspondências significam que o ponto de acesso é o mesmo, portanto confiável, enquanto divergências na assinatura significariam que algo mudou e o ponto de acesso pode ser malicioso.

Essa funcionalidade foi incorporada em um script Python chamado Snappy, que foi publicado no repositório do GitHub da Trustwave e está disponível gratuitamente.

Além do mecanismo para gerar hashes SHA256 de pontos de acesso sem fio, o Snappy também pode detectar pontos de acesso criados pelo Airbase-ng, uma ferramenta que os atacantes usam para criar pontos de acesso falsos para capturar pacotes de usuários conectados ou até mesmo injetar dados em seu tráfego de rede.

A execução de scripts Python em laptops deve ser direta, desde que o Python esteja instalado, mas os usuários de dispositivos móveis terão que fazer um esforço extra para obter interpretadores e emuladores específicos.

Proprietários de dispositivos Android podem usar o Pydroid, QPython ou Termux para executar scripts Python em seus telefones, enquanto os usuários do iOS podem escolher entre Pythonista, Carnets e Juno.

Esperançosamente, a Trustwave considerará publicar a ferramenta em uma forma mais utilizável para o público em breve.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...