Wie die Forscher erläutern, ist die Verbindung zwischen WLAN-Zugangspunkten und AFC-Servern zwar per Transport Layer Security abgesichert, was Abhören und Manipulation auf diesem Übertragungsweg erschwert. Das Problem liege an anderer Stelle: AFC-Server vertrauen standardmäßig auf clientseitige externe Datenquellen wie GPS, GNSS, WLAN-basierte Standortdaten, DNS-Antworten und die Zeitsynchronisierung über NTP. Diese Eingaben könnten je nach Szenario manipuliert werden.

In einem der Whitepaper schreiben die Autoren, diese „außerhalb des eigentlichen Kommunikationspfads liegenden Abhängigkeiten“ eröffneten praktikable Angriffsvektoren. Ein Angreifer könne Funksignale fälschen, DNS-Antworten vergiften oder NTP manipulieren. Dadurch könne ein Zugangspunkt einen falschen Standort oder eine falsche Zeit an den AFC-Server melden, zu von Angreifern kontrollierten Endpunkten umgeleitet werden oder AFC-Leases vorzeitig verlieren beziehungsweise neu erzwingen. Laut den Forschern kann das zu falschen Frequenz- und Leistungszuweisungen führen, was geschützte Bestandsnutzer stören kann, und außerdem 6-GHz-Clients per Denial of Service treffen, wenn Zugangspunkte keine gültigen Zuweisungen mehr erhalten.

Konkret beschreiben die Forscher, dass gefälschte GPS-Signale oder manipulierte WLAN-Geolokalisierungsdaten einen Zugangspunkt dazu bringen können, dem AFC-Server einen falschen Standort zu melden. So ließen sich unautorisierte Kanal- und Leistungszuweisungen erhalten. Wird ein Zugangspunkt scheinbar an einen weniger restriktiven Ort verlegt, könnte der AFC-Server zudem eine höhere Sendeleistung freigeben, was geschützte Funkverbindungen und Radioobservatorien stören könnte.

Auch Denial-of-Service-Szenarien führen die Autoren aus. Dazu zählen vorgetäuschte Standorte außerhalb unterstützter Regionen, manipulierte Zeitsynchronisierung über NTP oder vergiftete DNS-Anfragen. Das könne verhindern, dass Zugangspunkte gültige AFC-Autorisierungen erhalten, und den 6-GHz-Betrieb im Extremfall vollständig außer Kraft setzen. Ebenso könnten Angreifer wiederholte Aktualisierungen der AFC-Signalverbindung erzwingen und damit unnötige erneute Anfragen sowie zusätzliche Last auf den Servern auslösen.

Ein zweites Whitepaper, das im vergangenen Monat erschien, beschreibt nach Angaben der Forscher den ersten praktischen Proof-of-Concept-Angriff auf kommerzielle WLAN-Zugangspunkte. Dabei wurde ein AFC-Server imitiert, gefälschte Antworten eingeschleust und gezielte Interferenz- sowie Denial-of-Service-Angriffe innerhalb geschützter Frequenzen ausgelöst. Diese Arbeit sei von den zuvor beschriebenen Architekturproblemen getrennt, zeige aber, dass Implementierungsfehler in manchen AFC-Clients ebenfalls die Manipulation von AFC-Entscheidungen erlauben.

Yilu Dong, Doktorand an der Penn State University und an dem Bericht beteiligt, sagte Dark Reading, auch wenn keines dieser Beispiele exakt ein bösartiger Angriff auf Systemebene sei, sei das Risiko real. Böswillige Absicht sei dafür nicht einmal zwingend nötig: Ein Verbraucher könnte versuchen, die Reichweite des eigenen Zugangspunkts zu vergrößern und AFC zu umgehen, dabei aber unbeabsichtigt genau die in der Studie beschriebenen Störungen verursachen. Selbst Geräte der 6-GHz-Klasse für Verbraucher könnten Interferenzen auslösen, die Kanäle verschlechtern und in sehr schweren Fällen unbenutzbar machen.

Finanziert wurde die Forschung vom Department of Energy, darunter das Office of Cybersecurity, Energy Security, and Emergency Response (CESER), und in Zusammenarbeit mit dem Idaho National Laboratory durchgeführt. Als Gegenmaßnahmen empfehlen die Forscher unter anderem Geofencing, mehrere Standortquellen, Erkennung von Spoofing auf physikalischer Ebene, koordinierte Erkennung, authentisierte Lokalisierungsnachrichten, abgesicherte DNS- und NTP-Protokolle sowie Updates abhängiger Komponenten. Vorrang haben sollte ihrer Ansicht nach die Erkennung gefälschter Standortdaten sowie das Abschalten des 6-GHz-Betriebs bei erkannten Anomalien.

Dong und sein Kollege Tianchang Yang erklärten Dark Reading, ihre aktuelle Priorität sei es, Hersteller zu informieren, die AFC-Systeme entwickeln oder mit ihnen arbeiten. Einige Anbieter hätten die Forschung positiv aufgenommen und wollten Änderungen prüfen, andere reagierten zurückhaltender. Yang zufolge halten manche Beteiligte das Problem nicht für gravierend oder gewichten die Nutzbarkeit höher. Er rechne nicht damit, dass das AFC-System kurzfristig fallengelassen oder grundlegend umgebaut werde, sagte aber, die Beteiligten seien sich der Probleme bewusst und diskutierten mögliche Lösungen.