Forscher der UC Riverside haben Schwachstellen in der WLAN-Clientisolation entdeckt, die es Angreifern ermöglichen, sensible Daten abzufangen und Man-in-the-Middle-Attacken durchzuführen. Alle getesteten Router waren anfällig für mindestens eine der drei identifizierten Angriffsmethoden.
Wissenschaftler der University of California in Riverside haben gemeinsam mit Kollegen der belgischen KU Leuven eine kritische Sicherheitslücke in der WLAN-Clientisolation aufgedeckt. Die Forscher demonstrierten, dass diese verbreitete Sicherheitsmaßnahme in heimischen Netzwerken, Büros, Flughäfen und Cafés gezielt umgangen werden kann. Ihre Erkenntnisse wurden in der Forschungsarbeit “AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks” beim NDSS Symposium 2026 präsentiert.
Die WLAN-Clientisolation – auch als Access-Point- oder Station-Isolation bekannt – soll normalerweise verhindern, dass Geräte im selben Netzwerk untereinander Daten abfangen oder manipulieren können. Bei aktivierter Isolation darf nur der direkte Datentransfer zum Router erfolgen, nicht aber zwischen einzelnen Clients. Dies schützt vor Malware-Verbreitung, Ausspähung im öffentlichen WLAN und verhindert Port-Scanning sowie ARP-Spoofing.
Doch die Forschenden entdeckten drei grundlegende Schwachstellen in der praktischen Umsetzung dieser Sicherheitsfunktion. Die erste Lücke nutzt die fehlerhafte Verwaltung von WLAN-Schlüsseln aus. Die sogenannten Group Temporal Keys (GTK), die Broadcast-Frames schützen, sind während der Clientisolation oft für alle Geräte zugreifbar und können von Angreifern missbraucht werden, um Datenpakete direkt an Opfer zu senden.
Die zweite Schwachstelle, das “Gateway Bouncing”, entsteht durch unvollständige Isolation auf verschiedenen Netzwerkebenen. Isolation wird oft nur auf MAC- oder IP-Ebene durchgesetzt, nicht aber auf beiden. Ein Angreifer kann Pakete mit der Gateway-MAC-Adresse auf Layer 2, aber der Opfer-IP-Adresse auf Layer 3 versenden. Wenn das Gateway auf Layer 3 keine Isolation durchsetzt, leitet es die Pakete an das Ziel weiter.
Die dritte Angriffsmethode ist eine klassische Man-in-the-Middle-Attacke. Durch schwache Synchronisierung von Client-Identitäten im Netzwerk-Stack können Angreifer die Isolation auf Netzwerkebene umgehen. Mit gespooften MAC-Adressen lassen sich sowohl Download- als auch Upload-Verkehr abfangen – teilweise sogar bidirektional.
Obwohl nicht jedes Netzwerk für alle drei Angriffsarten anfällig ist, gelang es den Forschern, jeden getesteten Router mit mindestens einer Methode zu kompromittieren. Die Ergebnisse wurden verantwortungsvoll an die Hersteller weitergegeben, die mehr als 90 Tage Zeit für Fixes hatten. Dennoch warnen die Wissenschaftler, dass umfassende Lösungen schwierig werden dürften.
Als Hauptursache identifizierten die Forscher die fehlende Standardisierung der Clientisolation. Jeder Hersteller implementierte diese Sicherheitsfunktion ohne einheitliche Vorgaben und öffentliche Überprüfung – mit entsprechend inkonsistenten Resultaten. Eine effektive langfristige Lösung erfordert laut den Forschern eine ökosystemweite Koordination zwischen Standards-Organisationen, Geräteherstellern und Netzwerk-Betreibern.
Quelle: SecurityWeek