近日，字節跳動無恒實驗室在無線安全領域的研究成果獲得認可，其《Assessing Certificate Validation User Interfaces of WPA Supplicants》論文入選計算機網絡領域國際頂會MobiCom2022。

MobiCom是ACM SIGMobile開辦的無線和移動通信領域的頂級會議，自1995年開始，每年舉辦一次，距今已有28年的歷史。作為CCF A類會議，MobiCom論文一貫具有較高錄取標準，錄用率保持在15%左右的水平。據悉，本次入選的論文由無恒實驗室聯合昆士蘭大學、新加坡國立大學合作完成。

10月20日，論文項目組成員A/Prof Guangdong Bai、Dr Kailong Wang參加MobiCom2022并發表演講，詳細地向參會觀眾介紹整個研究過程。論文項目組研究發現，企業Wi-Fi中存在大量的風險Wi-Fi終端設備，由于漏洞或配置錯誤，這些終端設備可以在用戶無感知情況下被攻擊者劫持，并獲取到明文企業Wi-Fi密碼，從而使攻擊者直接接入企業內網。

隨著移動互聯網的高速發展和移動終端的廣泛普及，Wi-Fi網絡的安全對于企業十分重要。目前，無恒實驗室已將相關漏洞報給對應終端企業，完成了修復。

此外，無恒實驗室也在企業內部開發了一個檢測系統，該系統能夠實時檢測出將要接入企業Wi-Fi網絡中風險終端，提前發現風險并提醒員工解決問題甚至阻斷連接。目前該系統在內部測試中，后續無恒實驗室希望通過開源的方式與行業一道分享他們的安全治理經驗。

一、論文解讀：黑客如何無感知劫持設備并接入企業內網的？

1. 終端設備是如何被劫持到黑客偽造的企業Wi-Fi？

搭建同名企業Wi-Fi 是完成WPA-Enterprise攻擊的前提，基本流程如下：假設某公司員工通過連接名為Foo Inc的WPA-Enterprise網絡接入公司內網。黑客在員工經常出沒的場所，例如樓下的咖啡廳精心構造一個同樣名稱為Foo Inc的企業Wi-Fi，由于存儲在員工手機和電腦上的配置只記錄了企業Wi-Fi名稱為“Foo Inc”，當員工經過黑客搭建的“Foo Inc”附近時，員工的手機和電腦便會主動嘗試連接該Wi-Fi。

目前EAP認證框架中的PEAP、TLS、TTLS、FAST認證協議均依賴TLS隧道保護其安全性。這些協議首先會在Wi-Fi網絡和設備之間建立一個TLS隧道，這個TLS隧道和HTTPS中的TLS隧道類似。Wi-Fi網絡側會下發Authenticator服務端證書，只有終端設備驗證其真實性后才進行憑據交換。理論上攻擊者無法偽造服務端證書，終端設備也就不會和黑客偽造的Wi-Fi建立連接。然而在實際情況中，存在著錯誤配置和安全漏洞的問題，導致終端設備與偽造的Wi-Fi建立起TLS連接。比如

1. 錯誤配置

a. 一種情況是有一些Android設備配置PEAP企業無線網絡時，默認不對服務端證書進行校驗，例如CVE-2020-1836。另一種情況是，大量企業在構建Wi-Fi時，引入了零信任思想并搭建私有CA，以便增強安全性，而員工要配置企業Wi-Fi，首先要將CA根證書導入設備，再進行配置。這些操作較為復雜，員工通常圖省事，選擇不校驗。這些情況都會導致用戶的手機能夠信任偽造的證書直接連接到黑客偽造的Wi-Fi。

b. 在一些Linux系統的IoT設備中，配置校驗服務端證書的方式復雜，需要上傳一份根證書，并編寫配置文件。大部分用戶也會選擇直接連接而不校驗服務端證書。

2. 系統安全漏洞

a. 如CVE-2020-0119：Android設備在使用addOrUpdateNetworkInternal函數添加企業無線網配置時，會出現證書寫入失敗的情況。這導致Android設備無法校驗服務端證書。在這種漏洞影響下導致一些設備在即使配置正確的情況下也能夠連接黑客偽造的Wi-Fi。

2. 攻擊PEAP-MSCHAPV2/EAP-TTLS 協議

上面的漏洞建立“安全”隧道后，攻擊者會實施后續的各類攻擊方式。下面介紹下攻擊者常用的攻擊方式，這些攻擊方式都依賴于上面的默認不驗證證書漏洞：

● 針對PEAP認證方式的哈希竊取攻擊

在2012年的Defcon 20上，議題“Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2”提出了針對MSCHAPV2協議的攻擊。在對配置PEAP-MSCHAPV2協議的設備進行釣魚攻擊后，能夠獲得用戶密碼的哈希。傳統方法破解哈希所用的時間很長，而該議題提出的方法可以在一天內完成對密碼哈希的破解。

● 針對PEAP認證方式的GTC降級攻擊

在2013年的Defcon 21上，安全研究人員在議題“BYO-Disaster and why corporate security still sucks”上就提出了GTC降級攻擊。直到2020年，無恒實驗室仍然在Android和wpa_supplicant上發現了導致GTC降級攻擊的新漏洞，漏洞編號：CVE-2020-0201，該漏洞的根因是有漏洞的終端設備默認不配置階段二的協議。

如果在“安全”隧道建立之后，黑客偽造的Wi-Fi在階段二的協議協商階段選擇GTC協議而不是MSCHAPV2協議。錯誤配置的終端會將MSCHAPV2的密碼當成GTC協議的TOKEN上傳。這樣黑客就獲取到了MSCHAPV2的明文密碼，這種攻擊方式簡單高效，效果致命。更危險的是，有一些企業將Wi-Fi認證與SSO單點登錄打通，Wi-Fi密碼就是SSO密碼，這樣就拿到了企業員工的所有權限。

EAP-TTLS由于協議原理與PEAP類似， 上面兩種攻擊方式同樣有效。

3. 攻擊EAP-TLS 協議

EAP-TLS采用雙向證書認證， 如果終端設備沒有配置CA對Authenticator（服務端）進行認證，同樣可以被劫持，因為是否驗證用戶證書取決于服務端，而服務端此時是黑客掌控的。后續的攻擊就與連接到咖啡館的釣魚Wi-Fi類似了，在這里也可以偽造企業SSO認證頁面，騙取密碼。

綜上，這些攻擊的后果是直接導致用戶密碼、用戶哈希等敏感信息泄露，最終導致企業內網被黑客入侵。

想觀看本次演講完整論文的朋友，歡迎點擊自取：

https://baigd.github.io/files/MobiCom22.pdf

二、劫持發生的根本原因在于終端設備錯誤信任了黑客偽造的證書

隨著移動互聯網的高速發展和移動終端的廣泛普及，人們對無線網絡的需求越來越強烈，同時對于企業移動辦公來說，無線網絡安全更為重要。如何保障企業Wi-Fi網絡的安全，更好的提前發現安全風險，避免攻擊發生，這對所有企業網絡安全從業者提出了更高的挑戰。如上研究所說，對抗這些攻擊對于保障WPA-Enterprise的安全性起著重要的作用，2020年無恒實驗室將上述漏洞報給相關終端企業，目前已經修復，但是如果企業員工使用的設備從來沒有升級過固件，或者是員工存在錯誤配置的情況，還是會存在被攻擊的風險。

無恒實驗室在研究針對WPA-Enterprise的攻擊后發現，整個攻擊能夠實施的根本原因在于終端設備由于各種原因錯誤信任了黑客偽造的證書。針對這一問題，無恒實驗室目前在企業內部開發了一個檢測系統，該系統能夠實時檢測出將要接入企業Wi-Fi網絡中風險終端，提前發現風險并提醒員工解決問題甚至阻斷連接。目前該系統在內部測試中，后續無恒實驗室希望通過開源的方式與行業一道分享他們的治理經驗。

三、關于無恒實驗室

無恒實驗室(https://security.bytedance.com/security-lab)是由字節跳動資深安全研究人員組成的專業攻防研究實驗室，致力于為字節跳動旗下產品與業務保駕護航。通過實戰演練、漏洞挖掘、黑產打擊、應急響應等手段，不斷提升公司基礎安全、業務安全水位，極力降低安全事件對業務和公司的影響程度。無恒實驗室希望持續與業界持續共享研究成果，協助企業避免遭受安全風險，亦望能與業內同行共同合作，為網絡安全行業的發展做出貢獻。