Wi-Fi 帧包含与网络流量和路由相关的各种数据。它们包括标头、正文和尾部，它们有助于将数据从一个点移动到另一个点。

Wi-Fi 接入点将对与各个网络层相关的帧进行排队，缓冲它们，以便在网络资源可用时在适当的时间发送它们。

但三位研究人员表示，Wi-Fi 规范未能描述如何管理缓冲帧中的安全上下文。这对通过 Linux、FreeBSD、iOS 和 Android 进行无线连接的设备的安全性产生影响。

“帧头中节能位的不受保护性质，我们的工作揭示了这是一个基本的设计缺陷，也允许对手强制用于特定客户端的队列帧，导致其断开连接并轻松执行拒绝操作-服务攻击，”研究人员在论文中解释道。

为了利用此缺陷，攻击者可以发送欺骗性的省电帧（用于指示客户端正在进入睡眠模式），然后发送身份验证或关联帧以重置无线连接。

这使得接入点通过删除客户端的成对密钥来做出响应。如果后面跟着唤醒帧，接入点将在未定义的安全上下文下恢复发送缓冲的数据，而不是丢弃它。

结果是数据帧泄漏，根据所涉及的操作系统，可能采取不同的形式。例如，成功的攻击可能会以纯文本形式暴露帧数据，或者使其仅受网络组密钥或全零加密密钥的保护。

窥探者必须处于无线设备的无线电范围内才能利用协议设计中的这一弱点。在某些形式的利用中，他们实际上需要在网络上或能够加入网络才能这样做。

Schepers、Ranganathan 和 Vanhoef 还描述了一种安全上下文覆盖攻击，通过该攻击，接入点可以被迫使用对手选择的密钥对尚未排队的帧进行加密，从而使加密无效。

本质上，这种攻击从网络启动受害者并接管受害者的 MAC 地址。研究人员发布了一款名为MacStealer的概念验证漏洞利用工具，该工具可以测试网络，看看它们是否容易受到客户端隔离绕过的攻击 (CVE-2022-47522)。

研究论文中引用的供应商之一思科发布了一份信息公告，淡化了无线缺陷的后果，指出“攻击者获得的信息在安全配置的网络中价值极小”。我们认为思科的意思是，如果您使用 SSH 或 TLS 等方式封装传输中的无线网络流量，即使帧泄漏，它也应该受到这些协议的保护。

Lancom Systems 也承认了研究人员的发现。

其他设备接受研究人员测试的供应商——Aruba、华硕和 D-Link——尚未做出回应。