借助ICMP魔术，您可以窥探易受攻击的海思，高通驱动的Wi-Fi

至少 55 种 Wi-Fi 路由器型号中发现的漏洞可以被歹徒利用来监视通过无线网络发送的受害者数据。

中国和美国的Eggheads公布了高通和海思芯片中网络处理单元（NPU）安全缺陷的细节，这些芯片位于各种无线接入点（AP）的核心。该漏洞 （CVE-2022-25667） 可阻止设备阻止伪造的互联网控制消息协议 （ICMP） 消息;这些消息可能被滥用来劫持和观察受害者的无线连接。

ICMP 是一种网络层协议，主要用于诊断网络流量问题。它主要用于错误报告，尽管它可能通过 ICMP 洪水攻击被滥用于拒绝服务。

显然，该协议还可用于逃避Wi-Fi保护访问（WPA）安全性，以拦截和检查陌生人的无线网络流量。WPA（包括WPA2和WPA3）应该保护无线网络上的每台设备免受窥探：每个客户端路由器对之间的流量都经过单独加密，以便其他客户端，甚至是同一Wi-Fi网络上的客户端，无法嗅探无线电波并在空中传输时观察另一个数据。

据说这种特殊的攻击会破坏该安全层，允许Wi-Fi网络上的一台设备拦截和窥探另一台设备的流量。该技术在一篇题为“没有恶意AP的中间人攻击：当WPA遇到ICMP重定向”的论文[PDF]中进行了描述，该论文计划于5月在第44届IEEE安全和隐私研讨会上发表。

设计这次攻击的棺材——冯雪伟、李琦、孙坤、杨宇祥和徐柯，他们隶属于中国清华大学和中关村实验室以及美国的乔治梅森大学——解释说：“在本文中，我们展示了链路层无线帧加密的设计功能，旨在防止无线信道中的流量劫持， 可能会受到 IP 层处理 ICMP 错误处理的正常执行的干扰，从而允许攻击者劫持受害者请求者的流量。

为此，间谍和受害者需要在同一网络上 - 例如公共Wi-Fi网络。此外，攻击者还需要：能够通过 Wi-Fi 网络直接与受害者的设备通信;知道受害者的IP地址;并在受害者的设备上找到一个开放的UDP端口 - 不是不可能，但不是给定的。

在这一点上，我们还应该说，如果受害者不仅仅依赖WPA，并通过将其包装在HTTPS，SSH，TLS或其他形式的加密协议中来保护他们的网络流量免受窃听，那么在他们能够理解拦截的Wi-Fi连接之前，额外的加密仍然需要被窥探者击败。

从本质上讲，攻击有多个阶段，但其中最有趣的部分涉及向受害者的设备发送ICMP重定向消息，该消息经过精心设计，看起来好像来自AP。理想情况下，当要求将这种虚假消息中继到网络上的设备时，路由器应该丢弃这种虚假消息，因为路由器实际上并没有生成消息，而是研究人员发现这些欺骗性消息无论如何都会通过易受攻击的AP转发到设备。接收设备被愚弄，认为重定向消息是合法的，因为它似乎是来自接入点。

重定向消息会导致受害者的设备最终将其流量重新路由到另一个目的地。网络上的窥探者可以通过AP向受害者发送ICMP重定向消息，伪装成合法的并且来自Wi-Fi路由器，以便受害者的设备最终将其网络流量重定向到间谍控制下的系统，允许歹徒窃取并观察他们的Wi-Fi流量。

这显示了 ICMP 重定向消息到转发给受害者的 AP 如何导致受害者重新路由并将流量数据泄露给攻击者

“我们发现精心制作的ICMP重定向消息总是可以成功地转发给受害者，”计算机科学家写道。“它不能被美联社和现有的安全机制阻止。

“出于性能考虑，AP路由器中的NPU（例如，高通IPQ5018和海思Gigahome四核）会将收到的ICMP重定向假消息直接转发给受害者请求方。

正如我们所说，还涉及其他步骤，例如发现开放的UDP端口 - 有趣的是，需要让受害者的设备接受ICMP重定向消息 - 并剥离WPA加密。此处发布了攻击的视频演示，以及说明必要网络交互的图表。

研究人员表示，他们测试了来自十家供应商的55种AP产品，没有一种可以阻止伪造的ICMP消息。他们还声称，在测试的109个Wi-Fi网络中，有122个（89%）容易受到这种攻击。

由于此问题存在于 NPU 中，因此 AP 供应商需要芯片组制造商的帮助来进行维修。总部位于美国的高通公司于 2021 年底获悉该漏洞，并于去年 11 月发布了一份公告。

高通没有立即回应向客户提供有关其补丁推出状态的进一步细节的请求。

研究人员说，总部位于中国的华为拥有的海思也被告知。论文中引用的10家AP供应商中有6家已经确认其产品存在缺陷。但是，某些受影响的无线 AP 可能仍未修补。

除了基于NPU的缓解措施来过滤和阻止欺骗性的ICMP重定向消息之外，boffins还建议在跨层网络交互中添加安全检查。他们说他们在Linux 4.18中设计了一种机制的原型，并确认它是有效的。