Die WLAN-Sicherheitslücke AirSnitch umgeht die WLAN-Client-Isolation, selbst WPA3-Enterprise ist betroffen.
Ein neues Forschungspapier zerlegt eines der zentralen Sicherheitsversprechen moderner WLANs, die Client-Isolation. Vorgestellt haben die Angriffstechnik Sicherheitsforscher rund um Xin’an Zhou (University of California, Riverside) und Mathy Vanhoef (KU Leuven) auf dem Network and Distributed System Security Symposium 2026. Mit „AirSnitch“ lassen sich selbst Enterprise-Netze mit WPA3 in Man-in-the-Middle-Positionen zwingen. Die WLAN-Sicherheitslücke AirSnitch verdeutlicht, dass auch als „isoliert“ beworbene WiFi-Umgebungen strukturelle Schwächen aufweisen, die Angreifern weitreichende MitM-Angriffe ermöglichen.
Eine neue WLAN-Sicherheitslücke namens AirSnitch stellt das Vertrauen in einen der wichtigsten Schutzmechanismen moderner WiFi-Netzwerke infrage, die sogenannte Client-Isolation. Hersteller bewerben diese Technik seit Jahren als wirksame Barriere gegen interne Angriffe.
Um zu verhindern, dass kompromittierte oder bösartige Geräte andere Clients im selben WLAN angreifen können, wurde die sogenannte Client-Isolation eingeführt. Sie soll direkte Client-zu-Client-Kommunikation unterbinden und verhindern, dass sich Angriffe innerhalb eines Funknetzes lateral ausbreiten.
Die aktuelle Forschung zeigt hingegen, dass sie strukturell angreifbar ist, selbst in professionellen WPA3-Enterprise-Umgebungen.
WLAN-Sicherheitslücke AirSnitch offenbart Konstruktionsfehler im Netzwerkdesign
Die WiFi-Schwachstelle AirSnitch greift nicht die Verschlüsselungsalgorithmen selbst an, WPA2 und WPA3 bleiben kryptografisch unangetastet. Stattdessen nutzen die Forscher strukturelle Schwächen in der Umsetzung der Client-Isolation aus.
AirSnitch setzt allerdings voraus, dass sich der Angreifer bereits als Client im betroffenen WLAN befindet oder gültigen Zugang zum Netzwerk erlangt hat. Der Angriff erfolgt somit nicht aus dem Internet heraus, sondern aus dem Inneren des Funknetzes.
Das Kernproblem besteht darin, dass die Identität eines Geräts, bestehend aus MAC-Adresse, IP-Adresse und kryptografischen Schlüsseln, im WLAN nicht durchgängig und eindeutig miteinander verknüpft ist. Zwischen der physischen Verbindung auf Layer 1, der MAC- und Switching-Ebene auf Layer 2 sowie der IP- und Routing-Ebene auf Layer 3 fehlt eine konsequente Abstimmung.
In einem WLAN existieren mehrere Ebenen, die jeweils festlegen, wie ein Gerät identifiziert wird und wohin dessen Datenverkehr gehört. Diese Ebenen prüfen ihre Zuordnungen zu einem Gerät jedoch nicht ausreichend gegenseitig. AirSnitch nutzt diese Inkonsistenz gezielt aus.
Auf der ersten relevanten Ebene, Layer 2, wird ein Gerät primär über seine MAC-Adresse erkannt, ähnlich einem Kennzeichen im lokalen Netz. Access Points und interne Switches lernen dynamisch, an welchem Funk-Interface oder virtuellen Port, etwa einer bestimmten BSSID oder einem Frequenzband, eine MAC-Adresse zuletzt gesehen wurde. Diese Lernmechanik ist notwendig, weil Geräte im WLAN mobil sind und zwischen Access Points oder Frequenzen wechseln können.
Auf der nächsten Ebene, Layer 3, läuft die Kommunikation über IP-Adressen. Das Gateway bzw. der Router entscheidet anhand der Ziel-IP, wohin ein Paket geroutet wird. Idealerweise ist eindeutig festgelegt, dass die IP-Adresse eines Clients nur genau diesem Gerät zugeordnet ist und Daten ausschließlich dorthin gelangen.
Hinzu kommt die Verschlüsselungsebene von WPA2 und WPA3. Für die Funkübertragung existiert pro Client ein individueller Sitzungsschlüssel für Unicast-Verkehr sowie ein Gruppenschlüssel für Broadcast- und Multicast-Traffic. Der Access Point verwaltet dieses Schlüsselmaterial in internen Tabellen und ordnet es einzelnen Stationen zu.
Fehlende Identitätskopplung als architektonisches Problem
In einem konsistent abgesicherten Design wären MAC-Adresse, IP-Adresse und Schlüsselmaterial eng miteinander gekoppelt. Routing-Entscheidungen, Weiterleitungslogik und Verschlüsselung würden sich gegenseitig absichern, sodass Manipulationen wie MAC-Spoofing oder inkonsistente Zuordnungen sofort auffallen.
In realen WLAN-Implementierungen wird diese enge Kopplung jedoch nicht durchgängig erzwungen. Die einzelnen Komponenten arbeiten funktional zusammen, prüfen ihre jeweiligen Zuordnungen jedoch nicht ausreichend strikt gegeneinander.
Betroffen sind vor allem die unteren Schichten des Netzwerk-Stacks, insbesondere die physische Funkanbindung (Layer 1) und die MAC-basierte Weiterleitungslogik (Layer 2). In bestimmten Szenarien reicht die Inkonsistenz jedoch bis in Routing-Entscheidungen auf Layer 3.
Das zugrunde liegende Defizit lässt sich als schichtübergreifende Desynchronisation der Client-Identität beschreiben. MAC-Zuordnung auf Layer 2, IP-Routing auf Layer 3 und die Verwaltung kryptografischer Schlüssel sind nicht konsequent genug miteinander verknüpft. Eine technisch erzwungene, durchgängige Bindung zwischen physischer Verbindung, SSID-Zuordnung und dem zugehörigen Schlüsselmaterial fehlt.
So entsteht ein struktureller Spielraum, der einen Client-Isolation-Bypass ermöglicht und herstellerübergreifend funktioniert, unabhängig davon, ob es sich um Heimrouter, Open-Source-Firmware oder Enterprise-Access-Points handelt.
Ein Angreifer kann einzelne Bestandteile der Geräteidentität manipulieren, ohne dass alle Ebenen gemeinsam zuverlässig erkennen, dass es sich nicht um den legitimen Client handelt.
Sicherheitsmodell hinter der Client-Isolation
Dem WLAN-Design liegen mehrere zentrale Annahmen zugrunde, nämlich, dass eine MAC-Adresse eindeutig für ein Gerät steht, dass die WPA2- beziehungsweise WPA3-Verschlüsselung die Identität ausreichend an eine Verbindung bindet, dass aktivierte Client-Isolation Geräte vollständig voneinander trennt und dass die beteiligten Netzwerkebenen konsistent zusammenarbeiten. AirSnitch zeigt, dass diese Annahmen in der Praxis nicht durchgängig technisch erzwungen werden.
Ein konkretes Beispiel ist das Spoofing einer MAC-Adresse. Meldet sich ein Angreifer, je nach Konfiguration sogar parallel, mit der MAC-Adresse des Opfers auf einer anderen BSSID oder einem anderen Frequenzband an, kann der Access Point oder sein interner Switch lernen, dass diese MAC-Adresse nun an einer anderen Stelle „hängt“. Der für das Opfer bestimmte Verkehr wird daraufhin zum Angreifer umgeleitet. Dabei handelt es sich nicht um einen Bruch der Verschlüsselung, sondern um eine Manipulation der Weiterleitungslogik und der dynamischen Zuordnungstabellen. Wird diese Zuordnung nicht strikt an die ursprüngliche Verbindung und das zugehörige Schlüsselmaterial gebunden, entsteht eben die Angriffsfläche, die AirSnitch ausnutzt.
Ein weiteres Beispiel ist der sogenannte Gateway-Bouncing-Effekt. Manche Systeme setzen Client-Isolation nur auf MAC-Ebene durch und berücksichtigen die IP-Ebene nicht ausreichend. Sendet ein Angreifer ein Paket mit der MAC-Adresse des Gateways als Ziel, trägt jedoch die IP-Adresse des Opfers ein, verarbeitet der Router das Paket regulär und leitet es an den Client weiter. Die Isolation wird damit auf Layer 2 erzwungen, auf Layer 3 jedoch unterlaufen.
Auch der Missbrauch von Gruppenschlüsseln verdeutlicht das Problem. In vielen WLANs teilen sich Clients einen gemeinsamen Gruppenschlüssel für Broadcast- und Multicast-Verkehr. Akzeptieren Betriebssysteme oder Treiber unicastartige Nutzlasten innerhalb solcher Broadcast-Frames, kann ein Angreifer diese Mechanik nutzen, um trotz aktivierter Isolation Daten beim Opfer ankommen zu lassen. Für den Access Point zeigt sich der Verkehr wie zulässiger Gruppenverkehr, ein weiteres Beispiel für unzureichend verzahnte Sicherheitsebenen.
Das Problem liegt daher weniger in einem einzelnen Softwarefehler oder einem gebrochenen Verschlüsselungsalgorithmus als im architektonischen Grundverständnis darüber, wie die Identität einzelner Geräte und ihre gegenseitige Isolation im WLAN umgesetzt werden. AirSnitch ist folglich kein klassischer Kryptografie-Angriff, sondern zielt auf das Zusammenspiel der Netzwerkarchitektur und ihrer impliziten Sicherheitsannahmen.
Technische Kernursachen der WLAN-Sicherheitslücke
- Missbrauch gemeinsamer Gruppenschlüssel (GTK-Exploit)
In den meisten gängigen WLAN-Konfigurationen erhalten alle Clients denselben Group Temporal Key (GTK) für den Broadcast-Verkehr. Hier setzt ein zentraler Bestandteil des AirSnitch-Exploits an. Angreifer können Broadcast-Frames mit einem gültigen Gruppenschlüssel verschlüsseln und darin gezielt Unicast-IP-Pakete verbergen, die anschließend direkt beim Opfergerät ankommen.
Der Access Point greift in diesem Szenario nicht ein, da die Frames auf Funkebene korrekt verschlüsselt erscheinen und „over the air“ akzeptiert werden. Auf diese Weise entsteht ein Verschlüsselungs-Bypass, ohne dass die zugrunde liegende Kryptografie selbst gebrochen wird.
- Gateway Bouncing – Isolation nur auf Layer 2
Viele Router blockieren Client-zu-Client-Verkehr auf MAC-Ebene, sodass Geräte innerhalb desselben WLANs nicht direkt miteinander kommunizieren können. Auf IP-Ebene, also auf Layer 3, bleibt jedoch häufig eine Lücke. Beim sogenannten Gateway Bouncing sendet der Angreifer ein Paket, dessen MAC-Zieladresse auf das Gateway zeigt, während als IP-Ziel die Adresse des Opfergeräts eingetragen ist.
Das Gateway verarbeitet das Paket regulär und routet es entsprechend der Ziel-IP zurück ins WLAN, wo es direkt beim Opfer ankommt. Die Isolation auf Layer 2 greift in diesem Fall nicht, da die Weiterleitung über die Routing-Logik erfolgt. Dieses Szenario verdeutlicht, wie inkonsistent Client-Isolation in der Praxis umgesetzt wird und dass Schutzmechanismen nicht auf allen Ebenen gleichermaßen durchgesetzt werden.
- Port Stealing via MAC-Spoofing
Äußerst kritisch ist der Angriff auf die interne MAC-Port-Zuordnung eines Access Points. Durch gezieltes MAC-Spoofing im WLAN kann sich ein Angreifer mit der MAC-Adresse des Opfers anmelden und so die interne Weiterleitungstabelle beeinflussen. Der Access Point lernt daraufhin eine neue Zuordnung und leitet Downlink-Traffic nicht mehr an das eigentliche Gerät, sondern an das System des Angreifers weiter.
Auf diese Weise entsteht eine stabile Man-in-the-Middle-Position im WLAN, selbst in WPA3-Enterprise-Netzen. In komplexeren Infrastrukturen funktionierte dieser Mechanismus sogar access-point-übergreifend, also zwischen mehreren Access Points innerhalb eines Unternehmensnetzwerks.
Getestete Geräte und Hersteller
Die Forscher testeten insgesamt elf unterschiedliche Geräte und Plattformen, darunter gängige Heimrouter, Open-Source-Firmware-Lösungen sowie Enterprise-Access-Points. Zu den untersuchten Systemen gehörten Netgear Nighthawk X6 R8000, Tenda RX2 Pro, D-Link DIR-3040, TP-Link Archer AXE75, ASUS RT-AX57, DD-WRT v3.0-r44715, OpenWrt 24.10, Ubiquiti AmpliFi Alien Router, Ubiquiti AmpliFi Router HD, LANCOM LX-6500 sowie Cisco Catalyst 9130.
Den Angaben zufolge ließ sich bei allen getesteten Geräten mindestens eine der beschriebenen Angriffstechniken erfolgreich demonstrieren.
WPA3-Enterprise unterläuft das eigene Sicherheitsversprechen
Im Allgemeinen gehen Administratoren davon aus, dass individuelle 802.1X-Zugangsdaten und pro Client ausgehandelte Schlüssel WPA3-Enterprise praktisch unangreifbar machen. Die Forschung zu AirSnitch zeigt jedoch, dass die Schwachstelle nicht die Authentifizierung selbst betrifft, sondern die interne Weiterleitungslogik der Infrastruktur.
In einem Interview bezeichnete gemäß Ars Technica Hauptautor Xin’an Zhou AirSnitch als Angriff, der „weltweite Wi-Fi-Verschlüsselung umgeht“ und damit die Grundlage für weiterführende Angriffe wie Cookie-Diebstahl oder DNS- und Cache-Poisoning schaffen kann. Laut Co-Autor Mathy Vanhoef handelt es sich dabei jedoch nicht um einen klassischen Bruch der Verschlüsselung, sondern um einen Bypass der Client-Isolation, der auf bislang übersehenen Verhaltensweisen im Netzwerk-Stack basiert.
Selbst in realen Universitätsnetzwerken gelang es den Forschern, Downlink-Verkehr abzufangen, Man-in-the-Middle-Angriffe durchzuführen und in bestimmten Szenarien sogar die RADIUS-Kommunikation zu beeinflussen oder zu manipulieren. Dies weist auf die strukturelle Schwäche auf Infrastrukturebene hin.
Gefährdungspotenzial durch WLAN-Sicherheitslücke AirSnitch
Befindet sich ein Angreifer erst einmal in einer Man-in-the-Middle-Position, eröffnet dies eine Vielzahl möglicher Folgeangriffe. Er kann unverschlüsselte Verbindungen abhören, DNS-Cache-Poisoning betreiben, Cookies stehlen oder aktive Session-Hijacking-Angriffe durchführen.
Darüber hinaus sind Traffic-Analysen möglich, ebenso wie die gezielte Manipulation interner Intranet-Dienste. Zwar schützt HTTPS die übertragenen Inhalte, jedoch nicht die anfallenden DNS-Metadaten, Ziel-IP-Informationen oder mögliche Implementierungsfehler auf Anwendungsebene.
Besonders exponiert sind dabei öffentliche WLANs sowie komplexe Campus- oder Unternehmensnetze, in denen viele Geräte parallel kommunizieren. Gerade in öffentlich zugänglichen Netzen sollte nicht angenommen werden, dass Client-Isolation allein ausreichenden Schutz bietet.
Konstruktionsbedingte Schwächen der Client-Isolation
Client-Isolation ist kein eigenständiger IEEE-Standard, und es existiert keine verbindliche Spezifikation, die eindeutig festlegt, welche Schutzwirkung Isolation im Detail gewährleisten muss. Stattdessen implementieren Hersteller eigene Varianten, die sich in Durchsetzungstiefe, Layer-Trennung und interner Logik teils erheblich unterscheiden.
Das führt zu einer fragmentierten Sicherheitslandschaft, in der systematische Schwächen entstehen können. Zwar arbeiten einige Anbieter bereits an Firmware-Updates, nach Einschätzung der Forscher lassen sich jedoch bestimmte Designprobleme möglicherweise nur auf Hardware- beziehungsweise Chip-Ebene grundlegend beheben.
Was hilft gegen die WLAN-Sicherheitslücke AirSnitch?
Als mögliche Gegenmaßnahmen nennen die Forscher unter anderem eine strikte VLAN-Segmentierung sowie die Einrichtung von Isolationsdomänen pro Client, um Geräte konsequent voneinander zu trennen. Auch randomisierte Gruppenschlüssel und eine stärkere Bindung von MAC-Adressen an einzelne BSSIDs können das Risiko reduzieren. Darüber hinaus fordern sie eine formalisierte Standardisierung der Client-Isolation, um einheitliche und überprüfbare Sicherheitsanforderungen zu schaffen.
Die Einführung eines Zero-Trust-Modells innerhalb des lokalen Netzes kann die Angriffsfläche zusätzlich verringern. Dabei wird kein Gerät im internen Netzwerk pauschal als vertrauenswürdig eingestuft, selbst wenn es erfolgreich authentifiziert wurde. Stattdessen muss jede Kommunikation zwischen Clients kontinuierlich überprüft, autorisiert und gegebenenfalls zusätzlich abgesichert werden. Auf diese Weise lassen sich laterale Bewegungen und Man-in-the-Middle-Szenarien deutlich erschweren.
In der Praxis ist die konsequente Umsetzung eines solchen Modells jedoch mit erheblichem technischen und organisatorischen Aufwand verbunden. Segmentierung, Richtlinienkontrolle und Identitätsprüfung müssen dabei fein granular umgesetzt werden.
VPNs können zwar eine zusätzliche Schutzschicht bieten, indem sie Datenverkehr verschlüsseln und absichern, stellen jedoch keine umfassende Lösung für das zugrunde liegende Architekturproblem dar, da sie die strukturellen Schwächen der internen Weiterleitungs- und Isolationsmechanismen nicht beseitigen.
WLAN-Sicherheitslücke AirSnitch ist ein Weckruf
Die WLAN-Sicherheitslücke AirSnitch bricht keine Verschlüsselungsalgorithmen. Nicht die Kryptografie versagt, sondern das architektonische Sicherheitsversprechen dahinter. Die WiFi-Infrastruktur zeigt Risse an einer Stelle, die seit Jahren als zuverlässig isoliert gilt.
Die Forschung verdeutlicht, dass Verschlüsselung allein keine Sicherheit schafft. Erst wenn Identität, Weiterleitung und Isolation konsequent über alle Ebenen hinweg durchgesetzt werden, entsteht ein belastbares Schutzmodell. AirSnitch ist damit ein Weckruf für das gesamte Design moderner WLAN-Architekturen.
