Die Client-Isolation – auch als Access-Point-Isolation oder Station-Isolation bekannt – soll sicherstellen, dass WLAN-Clients den Datenverkehr anderer Clients im selben drahtlosen Netzwerk weder abfangen noch senden oder einschleusen können. Ist sie aktiv, darf der Access Point Datenverkehr nicht mehr direkt von einem Gerät zum anderen vermitteln; das einzige zulässige Ziel ist der vorgelagerte Router. Diese Regel unterbindet die Ausbreitung von Malware zwischen Geräten, das Mitlesen in öffentlichen WLANs sowie Port-Scans und ARP-Spoofing, lässt aber den meisten legitimen Datenverkehr weiter zu.

Das Problem liegt laut den Forschern darin, dass sich diese Isolation aushebeln lässt. Sie identifizierten drei zentrale Schwachstellen in den Implementierungen, auf denen ihre Angriffe aufbauen.

Der erste Angriff missbraucht den Group Temporal Key (GTK). Die meisten WLAN-Implementierungen nutzen einen gemeinsamen Gruppenschlüssel, um Broadcast- oder Multicast-Kommunikation zu schützen, und alle Clients haben während der Client-Isolation häufig Zugriff darauf. Laut den Forschern kann ein Insider diesen Schlüssel nutzen, um Pakete direkt an Opfer einzuschleusen und so die Isolation am Access Point zu umgehen.

Der zweite Angriff, das „Gateway Bouncing", setzt daran an, dass die Isolation oft nur auf der MAC- oder der IP-Schicht durchgesetzt wird, nicht auf beiden. Ein Angreifer kann Pakete an ein Opfer senden, indem er die Gateway-MAC-Adresse des Access Points als Ziel auf Schicht 2 verwendet, die IP-Adresse des Opfers aber als Ziel auf Schicht 3. Solche Pakete werden in der Regel vom Access Point akzeptiert und an das Gateway weitergeleitet; erzwingt dieses keine Isolation auf IP-Ebene, stellt es das Datenpaket dem Opfer-Client zu.

Der dritte Angriff ist ein Machine-in-the-Middle-Angriff. Eine schwache Synchronisierung der Client-Identität über den Netzwerkstack hinweg erlaubt es, die Isolation auf der Netzwerkschicht zu umgehen und so den ein- und ausgehenden Datenverkehr anderer Clients sowie interner Backend-Geräte abzufangen. Durch das Fälschen der MAC-Adresse des Opfers lassen sich Downlink-Frames abfangen; gibt sich der Angreifer durch MAC-Spoofing als internes Backend-Gerät wie das Gateway aus, erhält er auch den Uplink-Verkehr. Überraschend sei, so die Forscher, dass das Netzwerk diesen eigentlich Client-zu-Client-Verkehr oft zulasse – in Kombination ergebe sich ein vollständiger bidirektionaler Machine-in-the-Middle-Angriff.

Nicht jedes WLAN ist für alle drei Angriffe anfällig, doch die Forscher fanden kein Netzwerk, das sich nicht mit mindestens einer Methode kompromittieren ließ. Die Ergebnisse wurden den Herstellern verantwortungsvoll mitgeteilt; sie erhielten mehr als 90 Tage Zeit, um Korrekturen zu entwickeln, bevor die Arbeit veröffentlicht wurde.

Vollständige Lösungen für alle WLAN-Netze halten die Forscher jedoch für schwierig. Da die Angriffe mehrere Protokolle, Standards und deren schichtübergreifende Wechselwirkungen ausnutzten, könne ein einzelner Hersteller die volle Tragweite kaum allein erkennen. Eine wirksame langfristige Abhilfe erfordere daher eine Koordination auf Ökosystem-Ebene zwischen Normungsgremien, Geräteherstellern und Netzbetreibern.