Wi-Fi爆出史上最大漏洞：AirSnitch攻擊可成中間人截取「所有明碼訊息」、DNS投毒

安全研究人員揭露一種名為「AirSnitch」的新型 Wi-Fi 攻擊技術，可在不破解現有 WPA2/WPA3 加密的情況下，透過操控網路底層繞過用戶隔離機制，對目標裝置發動完全雙向的中間人攻擊（MitM）。
（前情提要：北韓駭客軍團拉撒路 Lazarus 的背後故事：如何用鍵盤犯下 Web3 最大搶案 ）
（背景補充：AI 助攻犯罪！駭客靠 Anthropic Claude 輕鬆入侵墨西哥政府，偷走 150GB 敏感資料 ）

本文目錄

Toggle

• 不是破解，是「繞過」
• 哪些設備受影響？幾乎全滅
• 就算有 HTTPS，也不能高枕無憂

美國加州大學河濱分校（UC Riverside）與比利時魯汶大學（KU Leuven）DistriNet 研究團隊，於 2026 年 2 月 25 日在聖地牙哥舉辦的 NDSS Symposium 2026 上，正式發表研究論文《AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks》，揭露一種影響很廣泛的新型 Wi-Fi 攻擊手法。

這項攻擊命名為「AirSnitch」，其關鍵之處在於它不是破解 Wi-Fi 加密，而是從更底層的網路結構下手，繞過加密的防護。

不是破解，是「繞過」

現有的 Wi-Fi 安全規範（WPA2 與 WPA3）在設計上假設，同一網路內的不同裝置之間會透過「用戶隔離」（Client Isolation）機制相互屏蔽，讓 A 裝置無法直接看到 B 裝置的流量。這是企業網路、飯店 Wi-Fi、咖啡廳熱點等環境中保護使用者的基本防線。

AirSnitch 的攻擊目標就是這道防線。

研究人員發現，Wi-Fi 標準在設計時，並未在第 1 層（實體層）的連接埠映射、第 2 層（資料鏈路層）的 MAC 位址，以及第 3 層（網路層）的 IP 位址之間建立密碼學綁定關係。這個結構性缺陷，使得攻擊者得以冒充受害者裝置的身份，讓接入點（AP）誤將原本應傳送給受害者的流量，改為傳送給攻擊者。

AirSnitch 透過三種技術手段發動攻擊：

• MAC 位址偽冒（Downlink 劫持）：攻擊者偽造受害者的 MAC 位址，欺騙 AP 將下行流量（從路由器傳往受害裝置的資料）轉交給自己
• 連接埠竊取（Port Stealing）：攻擊者以受害者 MAC 位址關聯至另一個 BSSID，使 AP 的內部交換邏輯重新綁定連接埠，受害者流量因此以攻擊者的加密金鑰加密後傳送
• 閘道冒充（Uplink 劫持）：攻擊者偽裝成內部閘道設備，截取受害者對外傳送的上行流量

這三種手法合計，形成完全雙向的中間人攻擊能力。攻擊者可同時攔截、查看與竄改受害者的所有進出流量。

哪些設備受影響？幾乎全滅

研究人員針對多款市售路由器與韌體進行測試，結果都是會受到攻擊。受測設備包括：

• Netgear Nighthawk x6 R8000
• Tenda RX2 Pro
• D-LINK DIR-3040
• TP-Link Archer AXE75
• Asus RT-AX57
• 開源韌體 DD-WRT v3.0-r44715 與 OpenWrt 24.10

此外，研究人員亦在兩所大學的企業級網路環境中成功重現攻擊。證實了 AirSnitch 並非針對特定品牌或型號的漏洞，而是 Wi-Fi 網路協議在架構層面的根本性缺陷，不論是家用、商用或企業環境，只要採用現行 Wi-Fi 標準，均在攻擊範圍之內。

就算有 HTTPS，也不能高枕無憂

許多使用者認為，只要瀏覽器顯示「上鎖的圖」（ HTTPS），資料就是安全的。但 AirSnitch 能做出多個繞過 HTTPS 的路徑。

對於仍以明文傳輸的流量，包括大量企業內部網路的 HTTP 流量，攻擊者可直接讀取密碼、身份驗證 Cookie、支付卡資訊等敏感資料，甚至即時竄改內容。

對於 HTTPS 加密的連線，攻擊者雖無法直接解密內容，但仍能：攔截 DNS 查詢流量，得知受害者正在訪問哪些網域；透過目標網站的外部 IP 位址，往往可回推至具體的 URL。

更進一步，可透過 DNS 快取投毒（DNS Cache Poisoning），在受害者的作業系統 DNS 快取中植入偽造紀錄，再搭配 SSL 剝奪（SSL Stripping）技術，最終騙使受害者在看似安全的頁面上交出帳號密碼。

風險最高的，就是公共 Wi-Fi，以後在咖啡店工作要小心了。