TL; DR: FaceNiff probablemente explota el "agujero 192" de WPA y usa el envenenamiento ARP para configurar un ataque Man-in-the-Middle. Los pasos, en definitiva, son:
- Eve usa la clave temporal de grupo (GTK) para inyectar paquetes ARP en la red, con la IP de la puerta de enlace de la red emparejada con su dirección MAC.
- Los clientes registran la dirección MAC de Eve como su nueva puerta de enlace.
- Los clientes envían paquetes cifrados con sus claves privadas (PTK) al AP, pero se dirigen a Eve. (Los paquetes aún deben ir al AP porque es el "hub".)
- AP descifra los paquetes, los vuelve a cifrar con el PTK de Eve (ya que están dirigidos a ella) y los vuelve a transmitir. Los paquetes ahora son efectivamente texto claro para Eva.
- Sigue el secuestro de la sesión.
Según un artículo en The Register, parece que el envenenamiento por ARP está realmente involucrado.
enlace
La aplicación funciona incluso en redes protegidas por esquemas de cifrado WPA y WPA2 mediante el uso de una técnica conocida como suplantación ARP para redirigir el tráfico local a través del dispositivo del atacante. Sin embargo, un atacante tendría que conocer la contraseña de seguridad.
Por lo tanto, para las redes WPA2, FaceNiff es más probable que esté explotando "Hole 196". AirTight tiene un artículo que explica muy bien qué es exactamente el Hoyo 196 y (pegado a continuación) cómo se puede explotar para que Eve pueda oler el tráfico WPA2 como si estuviera claro.
enlace
En una red WPA2, un usuario malintencionado emite paquetes falsos (con la dirección MAC del AP como la dirección del transmisor) encriptada usando la clave de grupo compartido (GTK) directamente a otros clientes de Wi-Fi autorizados en la red. Un ejemplo de un exploit que puede lanzarse utilizando GTK es el ataque clásico de envenenamiento ARP (hombre en el medio) (demostrado en Black Hat Arsenal 2010 y Defcon18).
En el exploit de envenenamiento de ARP, el usuario interno puede incluir, por ejemplo, un mensaje de Solicitud de ARP dentro del paquete encriptado con GTK. La solicitud ARP tiene la dirección IP de la puerta de enlace real, pero la dirección MAC de la máquina del atacante. Todos los clientes que reciben este mensaje actualizarán su tabla ARP, asignando la dirección MAC del atacante con la dirección IP de la puerta de enlace.
Todos los clientes de Wi-Fi "envenenados" enviarán todo su tráfico, cifrado con sus respectivas claves privadas (PTK), al AP, pero con la dirección MAC del atacante como destino. El AP descifra el tráfico y lo reenvía al atacante, ahora lo encripta utilizando el PTK del atacante. Debido a que todo el tráfico que llega al atacante (desde el AP) está cifrado con el PTK del atacante, el atacante puede descifrar el tráfico (incluidas las credenciales de inicio de sesión, correos electrónicos y otros datos confidenciales).
El atacante puede entonces elegir reenviar el tráfico a la puerta de enlace real de la red, de modo que los clientes de Wi-Fi víctimas no vean ningún comportamiento anormal y continúen su comunicación.