Đặc biệt là các cuộc tấn công ARP spoofing cho phép kẻ tấn công đọc lưu lượng của người dùng khác diễn ra khá phổ biến. Để khắc phục tình trạng này, các cơ chế mã hóa đã được triển khai nhằm ngăn chặn các bên ở gần - dù là người dùng hợp pháp trong mạng hay ở gần điểm truy cập đọc hoặc can thiệp vào lưu lượng mạng. Tuy nhiên, kỹ thuật tấn công AirSnitch mới đây đã minh chứng có thể vô hiệu hóa cơ chế cô lập này.
Cơ chế tấn công
AirSnitch là kết quả từ một nghiên cứu vừa được giới thiệu tại Hội thảo Network and Distributed System Security Symposium 2026, cho thấy các hành vi xảy ra ở những lớp thấp nhất của ngăn xếp mạng có thể khiến các cơ chế mã hóa - kể cả những cơ chế chưa từng bị phá vỡ trước đây, không thể đảm bảo tính cô lập giữa các thiết bị khách (client isolation). Đây vốn là một tính năng bảo mật được các nhà sản xuất quảng bá nhằm ngăn chặn giao tiếp trực tiếp giữa các thiết bị kết nối cùng mạng.
Nhiều biến thể của AirSnitch có thể hoạt động trên nhiều loại router phổ biến, bao gồm các thiết bị của Netgear, D-Link, Ubiquiti, Cisco, cũng như các hệ điều hành firmware như DD-WRT và OpenWrt.
Theo Xin’an Zhou, tác giả chính của nghiên cứu, AirSnitch có thể vượt qua cơ chế mã hóa WiFi trên phạm vi toàn cầu và mở ra khả năng thực hiện các cuộc tấn công mạng nâng cao. Ông cho biết các kỹ thuật này có thể được sử dụng để đánh cắp cookie, DNS poisoning hoặc bộ nhớ cache, từ đó tạo điều kiện cho nhiều hình thức tấn công leo thang khác.
Đồng tác giả nghiên cứu Mathy Vanhoef cho rằng, cách mô tả chính xác hơn về AirSnitch là “vượt qua cơ chế mã hóa WiFi” thay vì phá vỡ hoàn toàn chúng. Theo ông, phương thức này không phá vỡ quá trình xác thực hay mã hóa WiFi, mà chỉ khai thác cách triển khai để vượt qua cơ chế cô lập giữa các thiết bị.
Khác với các cuộc tấn công Wifi trước đây như WEP hay WPA, vốn khai thác lỗ hổng trong chính thuật toán mã hóa, AirSnitch nhắm tới một bề mặt tấn công ít được chú ý: các lớp thấp nhất của ngăn xếp mạng.
Thực tế, ngăn xếp mạng được chia thành nhiều lớp, từ Layer-1 (lớp vật lý) - bao gồm cáp, thiết bị và môi trường truyền dẫn, cho đến Layer-7 (lớp ứng dụng) nơi các phần mềm như trình duyệt hoặc ứng dụng email hoạt động.
AirSnitch khai thác các đặc điểm cốt lõi của Layer-1 và Layer-2, cùng với sự thiếu đồng bộ trong việc liên kết danh tính thiết bị giữa các lớp này với các lớp cao hơn. Hiện tượng này được các nhà nghiên cứu gọi là “mất đồng bộ danh tính đa lớp” và đây chính là yếu tố trung tâm tạo nên hiệu quả của các cuộc tấn công AirSnitch.
Một trong những kịch bản nguy hiểm nhất của AirSnitch là tấn công Man-in-the-Middle (MitM). Trong trường hợp này, các tác nhân đe dọa có thể xem và chỉnh sửa dữ liệu trước khi chúng đến được thiết bị nhận. Kẻ tấn công có thể hoạt động trong cùng SSID với nạn nhân hay một SSID khác, hoặc thậm chí trong một phân đoạn mạng khác nhưng sử dụng chung điểm truy cập. Phương thức này có thể ảnh hưởng đến cả mạng WiFi gia đình, văn phòng nhỏ lẫn mạng doanh nghiệp quy mô lớn.
Khi đã chặn được lưu lượng ở lớp liên kết dữ liệu, tin tặc có thể thực hiện nhiều cuộc tấn công ở các lớp cao hơn. Rủi ro nghiêm trọng nhất xảy ra khi kết nối Internet không được mã hóa, cho phép chúng có thể đọc và chỉnh sửa toàn bộ dữ liệu truyền đi, bao gồm mật khẩu, cookie xác thực, thông tin thẻ thanh toán và dữ liệu nhạy cảm khác.
Ngay cả khi HTTPS được sử dụng, kẻ tấn công vẫn có thể chặn lưu lượng DNS và thực hiện tấn công DNS cache poisoning, làm sai lệch bảng ánh xạ tên miền trong hệ điều hành của nạn nhân.
Cơ chế tấn công bắt đầu bằng kỹ thuật port stealing, một phương thức từng được sử dụng trong các cuộc tấn công Ethernet. Kẻ tấn công giả mạo địa chỉ MAC của nạn nhân và khiến hệ thống mạng liên kết địa chỉ đó với cổng mạng của mình. Kết quả là các gói dữ liệu vốn dành cho nạn nhân sẽ được chuyển đến tin tặc. Sau đó, chúng có thể điều khiển quá trình ánh xạ này liên tục để thiết lập một kênh MitM hai chiều.
Các nhà nghiên cứu cũng chỉ ra rằng một số biến thể của AirSnitch có thể vượt qua cơ chế cô lập thiết bị trong các mạng doanh nghiệp, thậm chí khai thác các giao thức xác thực như RADIUS để đánh cắp thông tin và thiết lập các điểm truy cập giả mạo.
Phạm vi ảnh hưởng
Các thử nghiệm cho thấy 11 loại bộ phát WiFi từ Netgear, Tenda, D-Link, TP-Link, ASUS, DD-WRT, OpenWrt, Ubiquiti, LANCOM, Cisco đều bị ảnh hưởng. Một số nhà sản xuất đã phát hành bản cập nhật phần mềm để giảm thiểu một số biến thể của AirSnitch.
Các bản vá bổ sung dự kiến sẽ tiếp tục được phát hành sắp tới. Tuy nhiên, nhiều lỗ hổng xuất phát từ chípet khó khắc phục hoàn toàn bằng phần mềm. Vì không có chuẩn chung cho cơ chế cách ly thiết bị, mỗi hãng áp dụng khác nhau, dẫn đến sự phân mảnh và thiếu nhất quán.
Biện pháp giảm thiểu tạm thời
Theo các nhà nghiên cứu, một số mối đe dọa có thể được giảm thiểu bằng cách sử dụng VPN, nhưng giải pháp này cũng có tất cả những nhược điểm thường thấy. Thứ nhất, VPN nổi tiếng là dễ làm rò rỉ metadata, truy vấn DNS và các lưu lượng truy cập khác có thể hữu ích cho kẻ tấn công, khiến khả năng bảo vệ bị hạn chế. Thứ hai, việc tìm kiếm một nhà cung cấp VPN uy tín và đáng tin cậy từ trước đến nay vẫn rất khó khăn, mặc dù tình hình đã được cải thiện hơn trong thời gian gần đây. Tóm lại, VPN không nên được coi là gì hơn ngoài một giải pháp tạm thời.
Bên cạnh đó là việc sử dụng VLAN không dây để cách ly một SSID khỏi SSID khác. Zhou cho biết các tùy chọn như vậy không phổ biến và cũng “rất dễ cấu hình sai”. Cụ thể, ông nói rằng VLAN thường có thể được triển khai theo cách tạo ra “lỗ hổng hopping”. Hơn nữa, Moore đã lập luận tại sao “VLAN không phải là rào cản thực tế” chống lại tất cả các cuộc tấn công AirSnitch.
Giải pháp hiệu quả nhất có thể là áp dụng mô hình Zero Trust, coi mỗi nút trong mạng là một bề mặt tấn công cho đến khi nó chứng minh được tính đáng tin cậy. Mô hình này rất khó áp dụng ngay cả đối với các tổ chức doanh nghiệp được đầu tư mạnh mẽ, mặc dù việc áp dụng đang trở nên dễ dàng hơn.
Kết luận
Wifi vốn luôn tiềm ẩn rủi ro bảo mật và AirSnitch tiếp tục mở rộng phạm vi các mối đe dọa có thể xảy ra. Dù vậy trong thực tế, nhiều cuộc tấn công đơn giản hơn, chẳng hạn như thiết lập điểm truy cập giả mạo (evil twin) vẫn có thể đạt được mục tiêu tương tự với ít công sức hơn.
Các nhà nghiên cứu cho rằng vẫn cần theo dõi phản ứng của các nhà sản xuất thiết bị mạng để xem liệu các vấn đề này có được khắc phục triệt để hay không. Dù vậy, nghiên cứu AirSnitch đã cho thấy một bề mặt tấn công mới trong hệ sinh thái Wifi, đồng thời nhắc nhở cộng đồng an ninh mạng rằng những giả định về an toàn của mạng không dây cần liên tục được xem xét và đánh giá lại.