字節(jié)跳動(dòng)無(wú)恒實(shí)驗(yàn)室Wi-Fi安全論文入選移動(dòng)計(jì)算領(lǐng)域國(guó)際會(huì)議MobiCom2022

近日，字節(jié)跳動(dòng)無(wú)恒實(shí)驗(yàn)室在無(wú)線安全領(lǐng)域的研究成果獲得認(rèn)可，其《Assessing Certificate Validation User Interfaces of WPA Supplicants》論文入選計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域國(guó)際頂會(huì)MobiCom2022。

MobiCom是ACM SIGMobile開辦的無(wú)線和移動(dòng)通信領(lǐng)域的頂級(jí)會(huì)議，自1995年開始，每年舉辦一次，距今已有28年的歷史。作為CCF A類會(huì)議，MobiCom論文一貫具有較高錄取標(biāo)準(zhǔn)，錄用率保持在15%左右的水平。據(jù)悉，本次入選的論文由無(wú)恒實(shí)驗(yàn)室聯(lián)合昆士蘭大學(xué)、新加坡國(guó)立大學(xué)合作完成。

10月20日，論文項(xiàng)目組成員A/Prof Guangdong Bai、Dr Kailong Wang參加MobiCom2022并發(fā)表演講，詳細(xì)地向參會(huì)觀眾介紹整個(gè)研究過(guò)程。論文項(xiàng)目組研究發(fā)現(xiàn)，企業(yè)Wi-Fi中存在大量的風(fēng)險(xiǎn)Wi-Fi終端設(shè)備，由于漏洞或配置錯(cuò)誤，這些終端設(shè)備可以在用戶無(wú)感知情況下被攻擊者劫持，并獲取到明文企業(yè)Wi-Fi密碼，從而使攻擊者直接接入企業(yè)內(nèi)網(wǎng)。

隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展和移動(dòng)終端的廣泛普及，Wi-Fi網(wǎng)絡(luò)的安全對(duì)于企業(yè)十分重要。目前，無(wú)恒實(shí)驗(yàn)室已將相關(guān)漏洞報(bào)給對(duì)應(yīng)終端企業(yè)，完成了修復(fù)。

此外，無(wú)恒實(shí)驗(yàn)室也在企業(yè)內(nèi)部開發(fā)了一個(gè)檢測(cè)系統(tǒng)，該系統(tǒng)能夠?qū)崟r(shí)檢測(cè)出將要接入企業(yè)Wi-Fi網(wǎng)絡(luò)中風(fēng)險(xiǎn)終端，提前發(fā)現(xiàn)風(fēng)險(xiǎn)并提醒員工解決問(wèn)題甚至阻斷連接。目前該系統(tǒng)在內(nèi)部測(cè)試中，后續(xù)無(wú)恒實(shí)驗(yàn)室希望通過(guò)開源的方式與行業(yè)一道分享他們的安全治理經(jīng)驗(yàn)。

一、論文解讀：黑客如何無(wú)感知劫持設(shè)備并接入企業(yè)內(nèi)網(wǎng)的？

1. 終端設(shè)備是如何被劫持到黑客偽造的企業(yè)Wi-Fi？

搭建同名企業(yè)Wi-Fi 是完成WPA-Enterprise攻擊的前提，基本流程如下：假設(shè)某公司員工通過(guò)連接名為Foo Inc的WPA-Enterprise網(wǎng)絡(luò)接入公司內(nèi)網(wǎng)。黑客在員工經(jīng)常出沒的場(chǎng)所，例如樓下的咖啡廳精心構(gòu)造一個(gè)同樣名稱為Foo Inc的企業(yè)Wi-Fi，由于存儲(chǔ)在員工手機(jī)和電腦上的配置只記錄了企業(yè)Wi-Fi名稱為“Foo Inc”，當(dāng)員工經(jīng)過(guò)黑客搭建的“Foo Inc”附近時(shí)，員工的手機(jī)和電腦便會(huì)主動(dòng)嘗試連接該Wi-Fi。

目前EAP認(rèn)證框架中的PEAP、TLS、TTLS、FAST認(rèn)證協(xié)議均依賴TLS隧道保護(hù)其安全性。這些協(xié)議首先會(huì)在Wi-Fi網(wǎng)絡(luò)和設(shè)備之間建立一個(gè)TLS隧道，這個(gè)TLS隧道和HTTPS中的TLS隧道類似。Wi-Fi網(wǎng)絡(luò)側(cè)會(huì)下發(fā)Authenticator服務(wù)端證書，只有終端設(shè)備驗(yàn)證其真實(shí)性后才進(jìn)行憑據(jù)交換。理論上攻擊者無(wú)法偽造服務(wù)端證書，終端設(shè)備也就不會(huì)和黑客偽造的Wi-Fi建立連接。然而在實(shí)際情況中，存在著錯(cuò)誤配置和安全漏洞的問(wèn)題，導(dǎo)致終端設(shè)備與偽造的Wi-Fi建立起TLS連接。比如

1. 錯(cuò)誤配置

a. 一種情況是有一些Android設(shè)備配置PEAP企業(yè)無(wú)線網(wǎng)絡(luò)時(shí)，默認(rèn)不對(duì)服務(wù)端證書進(jìn)行校驗(yàn)，例如CVE-2020-1836。另一種情況是，大量企業(yè)在構(gòu)建Wi-Fi時(shí)，引入了零信任思想并搭建私有CA，以便增強(qiáng)安全性，而員工要配置企業(yè)Wi-Fi，首先要將CA根證書導(dǎo)入設(shè)備，再進(jìn)行配置。這些操作較為復(fù)雜，員工通常圖省事，選擇不校驗(yàn)。這些情況都會(huì)導(dǎo)致用戶的手機(jī)能夠信任偽造的證書直接連接到黑客偽造的Wi-Fi。

b. 在一些Linux系統(tǒng)的IoT設(shè)備中，配置校驗(yàn)服務(wù)端證書的方式復(fù)雜，需要上傳一份根證書，并編寫配置文件。大部分用戶也會(huì)選擇直接連接而不校驗(yàn)服務(wù)端證書。

2. 系統(tǒng)安全漏洞

a. 如CVE-2020-0119：Android設(shè)備在使用addOrUpdateNetworkInternal函數(shù)添加企業(yè)無(wú)線網(wǎng)配置時(shí)，會(huì)出現(xiàn)證書寫入失敗的情況。這導(dǎo)致Android設(shè)備無(wú)法校驗(yàn)服務(wù)端證書。在這種漏洞影響下導(dǎo)致一些設(shè)備在即使配置正確的情況下也能夠連接黑客偽造的Wi-Fi。

2. 攻擊PEAP-MSCHAPV2/EAP-TTLS 協(xié)議

上面的漏洞建立“安全”隧道后，攻擊者會(huì)實(shí)施后續(xù)的各類攻擊方式。下面介紹下攻擊者常用的攻擊方式，這些攻擊方式都依賴于上面的默認(rèn)不驗(yàn)證證書漏洞：

● 針對(duì)PEAP認(rèn)證方式的哈希竊取攻擊

在2012年的Defcon 20上，議題“Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2”提出了針對(duì)MSCHAPV2協(xié)議的攻擊。在對(duì)配置PEAP-MSCHAPV2協(xié)議的設(shè)備進(jìn)行釣魚攻擊后，能夠獲得用戶密碼的哈希。傳統(tǒng)方法破解哈希所用的時(shí)間很長(zhǎng)，而該議題提出的方法可以在一天內(nèi)完成對(duì)密碼哈希的破解。

● 針對(duì)PEAP認(rèn)證方式的GTC降級(jí)攻擊

在2013年的Defcon 21上，安全研究人員在議題“BYO-Disaster and why corporate security still sucks”上就提出了GTC降級(jí)攻擊。直到2020年，無(wú)恒實(shí)驗(yàn)室仍然在Android和wpa_supplicant上發(fā)現(xiàn)了導(dǎo)致GTC降級(jí)攻擊的新漏洞，漏洞編號(hào)：CVE-2020-0201，該漏洞的根因是有漏洞的終端設(shè)備默認(rèn)不配置階段二的協(xié)議。

如果在“安全”隧道建立之后，黑客偽造的Wi-Fi在階段二的協(xié)議協(xié)商階段選擇GTC協(xié)議而不是MSCHAPV2協(xié)議。錯(cuò)誤配置的終端會(huì)將MSCHAPV2的密碼當(dāng)成GTC協(xié)議的TOKEN上傳。這樣黑客就獲取到了MSCHAPV2的明文密碼，這種攻擊方式簡(jiǎn)單高效，效果致命。更危險(xiǎn)的是，有一些企業(yè)將Wi-Fi認(rèn)證與SSO單點(diǎn)登錄打通，Wi-Fi密碼就是SSO密碼，這樣就拿到了企業(yè)員工的所有權(quán)限。

EAP-TTLS由于協(xié)議原理與PEAP類似， 上面兩種攻擊方式同樣有效。

3. 攻擊EAP-TLS 協(xié)議

EAP-TLS采用雙向證書認(rèn)證， 如果終端設(shè)備沒有配置CA對(duì)Authenticator(服務(wù)端)進(jìn)行認(rèn)證，同樣可以被劫持，因?yàn)槭欠耱?yàn)證用戶證書取決于服務(wù)端，而服務(wù)端此時(shí)是黑客掌控的。后續(xù)的攻擊就與連接到咖啡館的釣魚Wi-Fi類似了，在這里也可以偽造企業(yè)SSO認(rèn)證頁(yè)面，騙取密碼。

綜上，這些攻擊的后果是直接導(dǎo)致用戶密碼、用戶哈希等敏感信息泄露，最終導(dǎo)致企業(yè)內(nèi)網(wǎng)被黑客入侵。

想觀看本次演講完整論文的朋友，歡迎點(diǎn)擊自取：

https://baigd.github.io/files/MobiCom22.pdf

二、劫持發(fā)生的根本原因在于終端設(shè)備錯(cuò)誤信任了黑客偽造的證書

隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展和移動(dòng)終端的廣泛普及，人們對(duì)無(wú)線網(wǎng)絡(luò)的需求越來(lái)越強(qiáng)烈，同時(shí)對(duì)于企業(yè)移動(dòng)辦公來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)安全更為重要。如何保障企業(yè)Wi-Fi網(wǎng)絡(luò)的安全，更好的提前發(fā)現(xiàn)安全風(fēng)險(xiǎn)，避免攻擊發(fā)生，這對(duì)所有企業(yè)網(wǎng)絡(luò)安全從業(yè)者提出了更高的挑戰(zhàn)。如上研究所說(shuō)，對(duì)抗這些攻擊對(duì)于保障WPA-Enterprise的安全性起著重要的作用，2020年無(wú)恒實(shí)驗(yàn)室將上述漏洞報(bào)給相關(guān)終端企業(yè)，目前已經(jīng)修復(fù)，但是如果企業(yè)員工使用的設(shè)備從來(lái)沒有升級(jí)過(guò)固件，或者是員工存在錯(cuò)誤配置的情況，還是會(huì)存在被攻擊的風(fēng)險(xiǎn)。

無(wú)恒實(shí)驗(yàn)室在研究針對(duì)WPA-Enterprise的攻擊后發(fā)現(xiàn)，整個(gè)攻擊能夠?qū)嵤┑母驹蛟谟诮K端設(shè)備由于各種原因錯(cuò)誤信任了黑客偽造的證書。針對(duì)這一問(wèn)題，無(wú)恒實(shí)驗(yàn)室目前在企業(yè)內(nèi)部開發(fā)了一個(gè)檢測(cè)系統(tǒng)，該系統(tǒng)能夠?qū)崟r(shí)檢測(cè)出將要接入企業(yè)Wi-Fi網(wǎng)絡(luò)中風(fēng)險(xiǎn)終端，提前發(fā)現(xiàn)風(fēng)險(xiǎn)并提醒員工解決問(wèn)題甚至阻斷連接。目前該系統(tǒng)在內(nèi)部測(cè)試中，后續(xù)無(wú)恒實(shí)驗(yàn)室希望通過(guò)開源的方式與行業(yè)一道分享他們的治理經(jīng)驗(yàn)。

三、關(guān)于無(wú)恒實(shí)驗(yàn)室

無(wú)恒實(shí)驗(yàn)室(https://security.bytedance.com/security-lab)是由字節(jié)跳動(dòng)資深安全研究人員組成的專業(yè)攻防研究實(shí)驗(yàn)室，致力于為字節(jié)跳動(dòng)旗下產(chǎn)品與業(yè)務(wù)保駕護(hù)航。通過(guò)實(shí)戰(zhàn)演練、漏洞挖掘、黑產(chǎn)打擊、應(yīng)急響應(yīng)等手段，不斷提升公司基礎(chǔ)安全、業(yè)務(wù)安全水位，極力降低安全事件對(duì)業(yè)務(wù)和公司的影響程度。無(wú)恒實(shí)驗(yàn)室希望持續(xù)與業(yè)界持續(xù)共享研究成果，協(xié)助企業(yè)避免遭受安全風(fēng)險(xiǎn)，亦望能與業(yè)內(nèi)同行共同合作，為網(wǎng)絡(luò)安全行業(yè)的發(fā)展做出貢獻(xiàn)。(作者：朱袁)