{"id":24975,"date":"2026-05-12T09:00:19","date_gmt":"2026-05-12T12:00:19","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24975"},"modified":"2026-05-11T11:12:46","modified_gmt":"2026-05-11T14:12:46","slug":"airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation\/24975\/","title":{"rendered":"AirSnitch: ataque ao isolamento de clientes Wi-Fi e a redes de visitantes"},"content":{"rendered":"

Na confer\u00eancia de seguran\u00e7a da informa\u00e7\u00e3o NDSS Symposium 2026, realizada em fevereiro em San Diego, um renomado grupo de pesquisadores apresentou um estudo que revelou o ataque AirSnitch<\/a>, capaz de contornar o recurso de isolamento de clientes Wi-Fi, tamb\u00e9m conhecido como rede de visitantes ou isolamento de dispositivos. Esse ataque permite conectar-se a uma rede sem fio por meio de um ponto de acesso e, a partir da\u00ed, acesse outros dispositivos conectados, inclusive os que usam identificadores de rede<\/a> (SSIDs) diferentes no mesmo hardware. Os dispositivos-alvo podem facilmente estar em sub-redes sem fio protegidas por WPA2 ou WPA3. Na verdade, o ataque n\u00e3o quebra a criptografia; ele explora a maneira como os pontos de acesso lidam com chaves de grupo e roteamento de pacotes.<\/p>\n

Na pr\u00e1tica, isso significa que redes de visitantes oferecem um n\u00edvel muito baixo de seguran\u00e7a real. Se as redes corporativa e de visitantes estiverem no mesmo dispositivo f\u00edsico, o AirSnitch permite que um invasor conectado injete tr\u00e1fego malicioso em SSIDs vizinhos. Em alguns casos, ele pode at\u00e9 realizar um ataque man-in-the-middle<\/a> (MitM) completo.<\/p>\n

A seguran\u00e7a do Wi-Fi e o papel do isolamento<\/h2>\n

A seguran\u00e7a do Wi-Fi est\u00e1 em constante evolu\u00e7\u00e3o. Sempre que surge um ataque vi\u00e1vel contra a gera\u00e7\u00e3o de prote\u00e7\u00e3o mais recente, o setor responde com algoritmos e processos mais complexos. Esse ciclo come\u00e7ou com os ataques FMS<\/a>, usados para quebrar chaves de criptografia WEP, e continua at\u00e9 hoje. Exemplos recentes incluem os ataques KRACK<\/a> ao WPA2 e os FragAttacks<\/a>, que afetam todas as vers\u00f5es do protocolo de seguran\u00e7a WEP at\u00e9 WPA3.<\/p>\n

Atacar redes Wi-Fi modernas de forma eficaz (e discreta) n\u00e3o \u00e9 uma tarefa simples. A maioria dos profissionais considera que usar WPA2\/WPA3 com chaves complexas e separar redes por finalidade costuma ser suficiente para a prote\u00e7\u00e3o. No entanto, apenas especialistas sabem que o isolamento de clientes nunca foi padronizado nos protocolos IEEE 802.11. Fabricantes diferentes implementam esse isolamento de formas distintas, usando a Camada 2 ou 3 da arquitetura<\/a> de rede (ou seja, no roteador ou no controlador Wi-Fi), o que significa que o comportamento de sub-redes isoladas varia bastante dependendo do ponto de acesso espec\u00edfico ou do modelo do roteador.<\/p>\n

Embora o marketing afirme que o isolamento de clientes \u00e9 ideal para impedir que visitantes de restaurantes ou hot\u00e9is ataquem uns aos outros, ou para garantir que visitantes corporativos n\u00e3o possam acessar nada al\u00e9m da Internet, na pr\u00e1tica, esse isolamento muitas vezes depende do fato de ningu\u00e9m tentar explor\u00e1-lo. \u00c9 justamente isso que a pesquisa sobre o AirSnitch demonstra.<\/p>\n

Tipos de ataques AirSnitch<\/h2>\n

O nome AirSnitch n\u00e3o se refere a uma \u00fanica vulnerabilidade, mas a toda uma fam\u00edlia de falhas de arquitetura em pontos de acesso Wi-Fi. Tamb\u00e9m \u00e9 o nome de uma ferramenta de c\u00f3digo aberto usada para testar roteadores quanto a esses pontos fracos espec\u00edficos. Ainda assim, os profissionais de seguran\u00e7a precisam lembrar que a linha entre teste e ataque \u00e9 bastante t\u00eanue.<\/p>\n

O modelo desses ataques \u00e9 sempre parecido: um cliente malicioso se conecta a um ponto de acesso com isolamento ativado. Outros usu\u00e1rios (as v\u00edtimas) est\u00e3o conectados ao mesmo SSID ou a SSIDs diferentes no mesmo ponto de acesso. Esse cen\u00e1rio \u00e9 comum; por exemplo, uma rede de visitantes pode estar aberta e sem criptografia, ou um invasor pode simplesmente obter a senha do Wi-Fi de visitante se passando por um visitante leg\u00edtimo.<\/p>\n

Para determinados ataques AirSnitch, o invasor precisa saber previamente o endere\u00e7o MAC ou o IP da v\u00edtima.\u00a0 Em \u00faltima an\u00e1lise, a efic\u00e1cia de cada ataque depende do fabricante do hardware (veja mais detalhes abaixo).<\/p>\n

Ataque de GTK<\/h3>\n

Ap\u00f3s o handshake do WPA2\/WPA3, o ponto de acesso e os clientes compartilham uma Group Transient Key (GTK) para lidar com o tr\u00e1fego de broadcast. Nesse cen\u00e1rio, o invasor encapsula os pacotes destinados a uma v\u00edtima espec\u00edfica dentro de um pacote de tr\u00e1fego de transmiss\u00e3o. Em seguida, ele envia esses pacotes diretamente \u00e0 v\u00edtima, falsificando o endere\u00e7o MAC do ponto de acesso. Esse ataque permite apenas a inje\u00e7\u00e3o de tr\u00e1fego, o que significa que o invasor n\u00e3o recebe uma resposta. Mesmo assim, j\u00e1 \u00e9 suficiente para enviar an\u00fancios de roteamento ICMPv6 maliciosos ou mensagens DNS e ARP ao cliente, ignorando efetivamente o isolamento. Essa \u00e9 a forma mais universal do ataque, funcionando em redes WPA2\/WPA3 que usam uma GTK compartilhada. Alguns pontos de acesso corporativos, no entanto, permitem a randomiza\u00e7\u00e3o da GTK por cliente, o que neutraliza esse m\u00e9todo.<\/p>\n

Redirecionamento de pacotes de transmiss\u00e3o<\/h3>\n

Nessa vers\u00e3o do ataque, o invasor nem precisa se autenticar primeiro no ponto de acesso. Ele envia pacotes ao ponto de acesso com um endere\u00e7o de destino de transmiss\u00e3o (FF:FF:FF:FF:FF:FF) e a sinaliza\u00e7\u00e3o ToDS definida como 1.\u00a0 Como resultado, muitos pontos de acesso tratam esse pacote como tr\u00e1fego de transmiss\u00e3o leg\u00edtimo, o criptografam usando a GTK e o enviam para todos os clientes na sub-rede, incluindo a v\u00edtima. Assim como no m\u00e9todo anterior, \u00e9 poss\u00edvel encapsular o tr\u00e1fego especificamente destinado a uma \u00fanica v\u00edtima dentro dos pacotes.<\/p>\n

Redirecionamento via roteador<\/h3>\n

Esse ataque explora uma falha de arquitetura entre as Camadas de seguran\u00e7a 2 e 3 presente no hardware de alguns fabricantes. O invasor envia um pacote ao ponto de acesso, definindo o endere\u00e7o IP da v\u00edtima como destino na camada de rede (L3).\u00a0 No entanto, na camada sem fio (L2), o destino \u00e9 definido como o pr\u00f3prio endere\u00e7o MAC do ponto de acesso, evitando que o filtro de isolamento seja acionado. O subsistema de roteamento (L3) depois encaminha o pacote de volta \u00e0 v\u00edtima, contornando completamente o isolamento da L2. Assim como nos m\u00e9todos anteriores, trata-se de um ataque apenas de transmiss\u00e3o em que o invasor n\u00e3o v\u00ea a resposta.<\/p>\n

Roubo de porta para intercepta\u00e7\u00e3o de pacotes<\/h3>\n

O invasor se conecta \u00e0 rede usando uma vers\u00e3o falsificada do endere\u00e7o MAC da v\u00edtima e inunda a rede com respostas ARP dizendo: \u201ceste endere\u00e7o MAC est\u00e1 na minha porta e SSID\u201d.\u00a0 O roteador da rede alvo atualiza suas tabelas MAC e come\u00e7a a enviar o tr\u00e1fego da v\u00edtima para essa nova porta. Com isso, o tr\u00e1fego destinado \u00e0 v\u00edtima acaba sendo recebido pelo invasor, mesmo que a v\u00edtima esteja conectada a outro SSID.<\/p>\n

Se o invasor estiver em uma rede aberta e sem criptografia, isso significa que o tr\u00e1fego destinado a um cliente em uma rede protegida por WPA2\/WPA3 pode acabar sendo transmitido \u201cem claro\u201d, permitindo que qualquer pessoa pr\u00f3xima o capture.<\/p>\n

Roubo de porta para envio de pacotes<\/h3>\n

Nessa vers\u00e3o, o invasor se conecta diretamente ao adaptador Wi-Fi da v\u00edtima e o bombardeia com solicita\u00e7\u00f5es ARP, falsificando o endere\u00e7o MAC do ponto de acesso. Como resultado, o computador da v\u00edtima passa a enviar seu tr\u00e1fego ao invasor em vez da rede. Ao combinar essas duas t\u00e9cnicas de roubo de porta, um invasor pode, em v\u00e1rios cen\u00e1rios, realizar um ataque completo de MitM.<\/p>\n

Consequ\u00eancias pr\u00e1ticas dos ataques AirSnitch<\/h2>\n

Ao combinar v\u00e1rias dessas t\u00e9cnicas, um hacker pode realizar algumas a\u00e7\u00f5es bastante graves:<\/p>\n