{"id":30657,"date":"2026-05-12T10:53:24","date_gmt":"2026-05-12T08:53:24","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30657"},"modified":"2026-05-12T10:53:24","modified_gmt":"2026-05-12T08:53:24","slug":"airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation\/30657\/","title":{"rendered":"AirSnitch: attacco alle reti guest e isolamento dei client Wi-Fi"},"content":{"rendered":"

In occasione del Simposio NDSS 2026 di San Diego a febbraio, un gruppo di rinomati ricercatori ha presentato uno studio che svela l\u2019attacco AirSnitch<\/a>, che aggira la funzionalit\u00e0 di isolamento del client Wi-Fi, comunemente nota anche come rete guest o isolamento del dispositivo. Questo attacco consente di connettersi a una singola rete wireless tramite un punto di accesso e quindi di ottenere l\u2019accesso ad altri dispositivi connessi, inclusi quelli che utilizzano SSID (Service Set Identifier<\/a>) completamente diversi sullo stesso hardware. I dispositivi di destinazione potrebbero essere facilmente eseguiti in subnet wireless protette dai protocolli WPA2 o WPA3. L\u2019attacco in realt\u00e0 non viola il criptaggio; sfrutta invece il modo in cui i punti di accesso gestiscono le chiavi di gruppo e l\u2019instradamento dei pacchetti.<\/p>\n

In termini pratici, ci\u00f2 significa che una rete ospite fornisce ben poco in termini di sicurezza effettiva. Se le reti guest e dipendenti sono in esecuzione nello stesso dispositivo fisico, AirSnitch consente a un utente malintenzionato connesso di iniettare traffico dannoso negli SSID vicini. In alcuni casi, possono persino sferrare un attacco man-in-the-middle<\/a> (MitM) in piena regola.<\/p>\n

Protezione Wi-Fi e ruolo dell\u2019isolamento<\/h2>\n

La protezione Wi-Fi \u00e8 in continua evoluzione; ogni volta che viene effettuato un attacco pratico contro la protezione di ultima generazione, il settore passa a procedure e algoritmi pi\u00f9 complessi. Questo ciclo \u00e8 iniziato con gli attacchi FMS<\/a> utilizzati per decifrare le chiavi di criptaggio WEP e continua ancora oggi: esempi recenti includono gli attacchi KRACK<\/a> a WPA2 e FragAttacks<\/a>, che hanno avuto un impatto su ogni versione del protocollo di protezione WEP fino a WPA3.<\/p>\n

Attaccare le moderne reti Wi-Fi in modo efficace (e silenziosamente) non \u00e8 un\u2019impresa da poco. La maggior parte dei professionisti concorda sul fatto che l\u2019utilizzo di WPA2\/WPA3 con chiavi complesse e la separazione delle reti in base allo scopo \u00e8 in genere sufficiente per la protezione. Tuttavia, solo gli specialisti sanno veramente che l\u2019isolamento dei client non \u00e8 mai stato standardizzato all\u2019interno dei protocolli IEEE 802.11. Diversi produttori implementano l\u2019isolamento in modi completamente diversi: utilizzando il livello 2 o il livello 3 dell\u2019architettura<\/a> di rete; in altre parole, gestendolo a livello di router o di controller Wi-Fi, il che significa che il comportamento delle subnet isolate varia notevolmente a seconda del punto di accesso o del modello di router specifico.<\/p>\n

Sebbene il marketing affermi che l\u2019isolamento dei client \u00e8 perfetto per impedire agli ospiti di ristoranti o hotel di attaccarsi a vicenda o per garantire che i visitatori aziendali possano accedere solo a Internet, in realt\u00e0 l\u2019isolamento spesso si basa sul fatto che le persone non cerchino di manometterlo. Questo \u00e8 esattamente ci\u00f2 che evidenzia la ricerca di AirSnitch.<\/p>\n

Tipi di attacchi AirSnitch<\/h2>\n

Il nome AirSnitch non si riferisce solo a una singola vulnerabilit\u00e0, ma a un\u2019intera famiglia di difetti dell\u2019architettura riscontrati nei punti di accesso Wi-Fi. \u00c8 anche il nome di uno strumento open source utilizzato per testare i router alla ricerca di questi punti deboli specifici. Tuttavia, i professionisti della sicurezza devono tenere presente che esiste solo un confine molto sottile tra test e attacchi.<\/p>\n

Il modello per tutti questi attacchi \u00e8 lo stesso: un client dannoso \u00e8 connesso a un punto di accesso (AP) in cui \u00e8 attivo l\u2019isolamento. Altri utenti (le destinazioni) sono connessi allo stesso SSID o anche a SSID diversi nello stesso punto di accesso. Si tratta di uno scenario molto realistico; ad esempio, una rete ospite potrebbe essere aperta e non criptata oppure un utente malintenzionato potrebbe semplicemente ottenere la password Wi-Fi ospite spacciandosi per visitatore legittimo.<\/p>\n

Per determinati attacchi AirSnitch, l\u2019utente malintenzionato deve conoscere anticipatamente l\u2019indirizzo MAC o IP della vittima.\u00a0 In definitiva, l\u2019efficacia di ciascun attacco dipende dal produttore dell\u2019hardware specifico (ulteriori informazioni di seguito).<\/p>\n

Attacco GTK<\/h3>\n

Dopo l\u2019handshake WPA2\/WPA3, il punto di accesso e i client concordano una chiave transitoria di gruppo (GTK) per gestire il traffico di trasmissione. In questo scenario, l\u2019utente malintenzionato esegue il wrapping dei pacchetti destinati a una vittima specifica all\u2019interno di una busta del traffico di trasmissione. Questi ultimi li inviano quindi direttamente alla vittima durante lo spoofing dell\u2019indirizzo MAC del punto di accesso. Questo attacco consente solo l\u2019immissione di traffico, ovvero l\u2019utente malintenzionato non ricever\u00e0 una risposta. Tuttavia, anche questo \u00e8 sufficiente per inviare al client annunci di routing ICMPv6 dannosi o messaggi DNS e ARP, aggirando di fatto l\u2019isolamento. Questa \u00e8 la versione pi\u00f9 universale dell\u2019attacco che funziona in qualsiasi rete WPA2\/WPA3 che utilizza un GTK condiviso. Detto questo, alcuni punti di accesso di livello aziendale supportano la randomizzazione GTK per ogni singolo client, il che rende inefficace questo metodo specifico.<\/p>\n

Reindirizzamento dei pacchetti broadcast<\/h3>\n

Questa versione dell\u2019attacco non richiede nemmeno l\u2019autenticazione preliminare presso il punto di accesso da parte dell\u2019utente malintenzionato. L\u2019utente malintenzionato invia i pacchetti all\u2019AP con un indirizzo di destinazione della trasmissione (FF:FF:FF:FF:FF:FF) e il flag ToDS impostato su 1.\u00a0 Di conseguenza, molti punti di accesso considerano questo pacchetto come traffico di trasmissione legittimo; lo criptano utilizzando GTK e lo inviano a tutti i client della subnet, inclusa la vittima. Proprio come nel metodo precedente, il traffico specifico per una singola vittima pu\u00f2 essere preconfezionato all\u2019interno.<\/p>\n

Reindirizzamento del router<\/h3>\n

Questo attacco sfrutta una lacuna architetturale tra la sicurezza di Livello 2 e Livello 3 riscontrata nell\u2019hardware di alcuni produttori. L\u2019utente malintenzionato invia un pacchetto al punto di accesso, impostando l\u2019indirizzo IP della vittima come destinazione a livello di rete (L3).\u00a0 Tuttavia, al livello wireless (L2), la destinazione viene impostata sull\u2019indirizzo MAC del punto di accesso, quindi il filtro di isolamento non scatta. Il sottosistema di routing (L3) reinstrada quindi nuovamente il pacchetto alla vittima, ignorando completamente l\u2019isolamento L2. Come i metodi precedenti, questo \u00e8 un altro attacco di sola trasmissione in cui l\u2019utente malintenzionato non pu\u00f2 visualizzare la risposta.<\/p>\n

Furto di porte per intercettare i pacchetti<\/h3>\n

L\u2019utente malintenzionato si connette alla rete utilizzando una versione contraffatta dell\u2019indirizzo MAC della vittima e inonda la rete con risposte ARP affermando \u201cquesto indirizzo MAC \u00e8 sulla porta e sull\u2019SSID\u201d.\u00a0 Il router della rete di destinazione aggiorna le proprie tabelle MAC e inizia invece a inviare il traffico della vittima a questa nuova porta. Di conseguenza, il traffico destinato alla vittima finisce all\u2019autore dell\u2019attacco, anche se la vittima \u00e8 connessa a un SSID completamente diverso.<\/p>\n

In uno scenario in cui l\u2019utente malintenzionato si connette tramite una rete aperta non criptata, il traffico destinato a un client in una rete protetta WPA2\/WPA3 viene effettivamente trasmesso all\u2019aperto, dove non solo l\u2019utente malintenzionato ma chiunque si trovi nelle vicinanze pu\u00f2 metterci il naso.<\/p>\n

Furto di porte per l\u2019invio di pacchetti<\/h3>\n

In questa versione l\u2019utente malintenzionato si connette direttamente alla scheda Wi-Fi della vittima e la bombarda con richieste ARP che falsificano l\u2019indirizzo MAC del punto di accesso. In seguito a questa operazione, il computer della vittima inizia a inviare il traffico in uscita all\u2019utente malintenzionato anzich\u00e9 alla rete. Eseguendo contemporaneamente entrambi gli attacchi stealing, un utente malintenzionato pu\u00f2, in diversi scenari, eseguire un attacco MitM completo.<\/p>\n

Conseguenze pratiche degli attacchi AirSnitch<\/h2>\n

Unendo diverse tecniche sopra descritte, un hacker pu\u00f2 mettere a punto alcune mosse piuttosto serie:<\/p>\n