꼰머의 보안공부

1. 개요

- 중국과 싱가포르 대학 연구진이 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용해 스마트폰의 텍스트 전송을 가로채 비밀번호를 탈취하는 WiKI-Eve 공격이 발견
- 스마트폰과 와이파이 라우터 간 트래픽을 중간에서 가로채 어떤 숫자 키가 눌렸는지 확인하는 실시간 공격으로, 90% 정확도를 지님
- 공격이 성공하기 위해서는 공격자와 피해자가 동일한 네트워크에 있어야 하며, 피해자의 MAC 주소 또한 알고있어야함

- 공격자들이 AP를 해킹할 필요도 없이 중요한 정보를 정확하게 유추할 수 있음

2. 주요내용

2.1 BFI (Beamforming Feedback Information)

- 빔포밍(Beamforming)이란 기지국(또는 AP)에서 무선 신호를 특정 방향으로 무선 신호를 집중시키는 기술

> 즉, 전파를 특정 위치로 집중해 빔을 만들어 효율을 높이는 기술

> 신호를 집중시킴으로써 송출 전력을 증폭하지 않으면서 수신기에 전달되는 신호를 잘 잡을 수 있음

> 2013년 WiFi5(802.11ac)와 함께 처음 소개된 기술로, WiFi5에 도입됨

- BFI는 사용자 단말 등이 자신들의 위치에 대한 정보를 라우터로 전송하게 함으로써 라우터가 신호를 보다 정확하게 전송할 수 있도록 만들어줌

> 그러나, 데이터가 평문으로 전송되기 때문에 취약점이 발생

2.2 방법론

① 공격 대상 식별

- 공격자는 시각적인 모니터링과 트래픽 모니터링을 동시에 수행해 MAC 주소 식별

> 다양한 MAC 주소에서 발생하는 네트워크 트래픽을 사용자의 행동과 연관시켜 MAC 주소 식별

② 공격 타이밍 식별

- 공격 대상이 식별되면 비밀번호 입력 등의 행위를 기다림

> 관련 IP 주소(공격 대상과 통신하는 IP) 등을 DB화한 뒤 해당 IP와 통신이 발생할 때까지 대기

③ BFI  신호 탈취

- 사용자 단말에서 발생한 BFI 신호를 Wireshark와 같은 트래픽 모니터링 도구를 이용해 캡처

> 사용자가 스마트폰의 키를 누를 때마다 화면 뒤의 WiFi 안테나에 영향을 주어 뚜렷한 WiFi신호가 생성

④ 키스트로크 추론

- 수집된 BFI 신호를 분할하여 사용자의 키스트로크 추론

- 수집된 BFI 신호가 키 입력 간의 경계를 모호하게 만들 수 있어 사용 가능한 데이터를 분석하고 복원하는 알고리즘 적용

> 사용자마다 뚜렷한 타이핑 습관의 차이를 보이기 때문에 규칙 기반 분할이 아닌 데이터 기반 분할을 적용

> 분할은 CFAR(Constant False Alarm Rate) 알고리즘을 사용하여 수집된 BFI 신호의 피크를 식별하는 것부터 시작

＊ Constant False Alarm Rate (CFAR): 테스트하고자 하는 위치의 값과 주변 값의 관계를 보고 테스트 값이 대상인지 아닌지를 구분하는 알고리즘

> 결과를 방해하는 요소(타이핑 스타일, 속도, 인접한 키 입력 등)를 걸러내기 위해 "1-D Convolutional Neural Network" 기계 학습을 사용

＊ 합성곱 신경망(Convolutional Neural Network): n × m 크기의 겹쳐지는 부분의 각 이미지와 커널의 원소의 값을 곱해서 모두 더한 값을 출력

> 도메인 적응(특징 추출기, 키스트로크 분류기, 도메인 판별기로 구성) 개념을 통해 타이핑 스타일에 상관없이 키스트로크를 일관되게 인식하도록 훈련

＊ 도메인 적응(Domain Adaptation): 학습 데이터와 실제 데이터의 차이를 극복하고 모델의 성능 향상을 위해 데이터와 관련있는 추가적인 데이터를 학습

> 도메인별 특징을 억제하기 위해 GRL(Gradient Reversion Layer)를 적용해 일관된 키 입력 표현을 학습할 수 있도록 함

＊ Gradient Reversion Layer(GRL): 도메인 간의 분포 차이를 줄이고 도메인 적응을 수행하는 데 도움을 줌

⑤ 비밀번호 복구

- 20명의 참가자는 서로 다른 휴대폰으로 동일한 AP에 연결해 비밀번호를 입력

> 키 입력 분류 ​​정확도는 희소 복구 알고리즘과 도메인 적응을 사용할 때 88.9%로 안정적으로 유지

> 6자리 숫자 비밀번호의 경우 100회 미만의 시도에서 85%의 성공률을, 모든 테스트에서 75% 이상의 성공률을 보임

> 공격자와 AP 사이의 거리가 결과에 큰 영향을 끼치며, 거리를 1m에서 10m로 늘릴 경우 성공률은 23%로 감소

- 해당 연구는 숫자로만 구성된 비밀번호에만 작동

> NordPass의 연구에 따르면 상위 비밀번호 20개 중 16개(80%)는 숫자만 사용

2.3 완화 방안

- 데이터 암호화: BFI가 데이터를 평문으로 전송하여 발생하는 문제이기 때문에 암호화 적용

- 키보드 무작위화: 키보드 배열(레이아웃)을 무작위화 하여 어떤 키가 입력되었는지 알 수 없음

- 난독화: 트래픽 캡처 등을 방지하기 위해 난독화 적용

- 스크램블: 송신 측에서 기공유된 초기값과 데이터를 XOR하여 전송한 후 수신측에서 이를 복호화해 원래의 데이터를 복호화하는 방식으로 CSI 스크램블링, WiFi 채널 스크램블을 적용

3. 추가 대응 방안

- WiFi 암호 활성화 및 공용 WiFi 사용 지양

- 스마트폰, WiFi 등 업데이트를 적용해 최신상태 유지

4. 참고

[1] https://arxiv.org/pdf/2309.03492.pdf
[2] https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-over-wifi/
[3] https://vosveteit.zoznam.sk/hacker-nepotrebuje-absolutne-nic-novy-utok-wiki-eve-moze-kradnut-ciselne-hesla-cez-wifi/
[4] https://techxplore.com/news/2023-09-exploit-passwords-keystrokes.html
[5] https://www.ludicweb.fr/wiki-eve-lattaque-wifi-qui-lit-vos-frappes-de-mot-de-passe-a-lecran
[6] https://cybersecuritynews.com/wiki-eve-wi-fi-passwords/
[7] https://digvel.com/blog/744/
[8] https://www.boannews.com/media/view.asp?idx=121878&page=5&kind=4
[9] https://isarc.tachyonlab.com/5563
[10] https://ko.wikipedia.org/wiki/%EB%B9%94%ED%8F%AC%EB%B0%8D
[11] https://www.kukinews.com/newsView/kuk202010200380
[12] https://wikidocs.net/64066
[13] https://cilabs.kaist.ac.kr/research/research-area/domain-adaptation
[14] https://zdnet.co.kr/view/?no=20201112124104
[15] https://nordpass.com/most-common-passwords-list/
[16] http://word.tta.or.kr/dictionary/dictionaryView.do?subject=%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81%2F%EB%94%94%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81