Ataques de eliminación de SSID podrían llevar al usuario a puntos de acceso falsos

Investigadores han descubierto un nuevo método de ataque llamado SSID Stripping, el cual podría usarse para falsificar un nombre de red (o identificador de conjunto de servicios) con otro nombre en la lista de redes de un dispositivo para engañar a los usuarios. La eliminación de SSID es un método que actores maliciosos podrían utilizar […]

Investigadores han descubierto un nuevo método de ataque llamado SSID Stripping, el cual podría usarse para falsificar un nombre de red (o identificador de conjunto de servicios) con otro nombre en la lista de redes de un dispositivo para engañar a los usuarios.

La eliminación de SSID es un método que actores maliciosos podrían utilizar con el fin de engañar a los usuarios para que se conecten a puntos de acceso inalámbricos (WAP) falsos.

Principalmente afecta a los dispositivos que ejecutan macOS, iOS, Ubuntu, Windows y Android.

Los investigadores han demostrado cómo un atacante puede falsificar el nombre de una red inalámbrica, logrando que un nombre SSID de red falso se muestre al usuario como una red legítima.

En este ataque, un usuario vería una conexión de red con el mismo nombre de una conexión en la que confía, aunque tiene que conectarse manualmente a esa red para que el ataque funcione.

El ataque pasa por alto los controles de seguridad, ya que el dispositivo procesa el nombre real del SSID. Sin embargo, una cadena adicional agregada por el atacante no se muestra a la víctima en su pantalla.

La suplantación de SSID ya es un ataque conocido; sin embargo, con esta nueva técnica de eliminación de SSID, un atacante podría engañar de manera más efectiva a un usuario para que se conecte a una conexión Wi-Fi no autorizada. Además, pueden robar datos y monitorear las comunicaciones.

Los investigadores han definido tres tipos de errores de visualización, que han utilizado para describir el ataque:

El primer error de visualización implica agregar un byte NULL en el SSID. Si lo hace, los dispositivos Apple mostrarán solo la parte del nombre que está antes de este byte. En dispositivos Windows, un atacante podría usar caracteres de nueva línea (\ n) para obtener el mismo efecto.

El segundo error de visualización podría desencadenarse mediante caracteres no imprimibles. Se podría insertar un carácter especial en el SSID que se agregará al nombre sin que se muestre al usuario.

El último error de visualización incluye la exclusión de una determinada parte del nombre de la red de una parte visible de la pantalla de un dispositivo. Por lo tanto, podría usarse para ocultar palabras adicionales de un nombre de red deshonesto empujándolos fuera del área de pantalla visible.

La técnica de eliminación de SSID muestra que los dispositivos inalámbricos siempre están expuestos a amenazas desconocidas. Podría ser una seria amenaza para la seguridad de un usuario y de una organización.

También podría interesarte este artículo.