Drie onderzoekers, waaronder de Belgische onderzoeker Mathy Vanhoef die eerder verschillende aanvallen op WPA2 en WPA3 ontwikkelde, hebben een nieuwe aanval gedemonstreerd waarbij ze gebruikmaken van de slaapstand van apparaten om de wifi-encryptie van routers te omzeilen en informatie te stelen die voor andere apparaten is bedoeld. Dat laten de onderzoekers zien in hun onderzoek "Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues" (pdf).

Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen. Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is.

Volgens de onderzoekers wordt het probleem veroorzaakt door onvoldoende richtlijnen over de beveiliging van gebufferde frames zoals die in de 802.11 wifi-standaarden is opgenomen. Zo is de power-save bit in de header van een frame niet beveiligd, wat deze en andere aanvallen mogelijk maakt. De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest.

Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten.

Cisco is inmiddels met een beveiligingsbulletin over het onderzoek gekomen. Daarin laat het netwerkbedrijf weten dat het om een "opportunistische aanval" gaat en de informatie die een aanvaller in een beveiligd geconfigureerde netwerk hierbij kan verkrijgen van minimale waarde is.