không yêu cầu sự xác thực hai chiều giữa AP và các nút. Chứng nhận ủy nhiệm AP thường được quảng bá trong mạng. Điều này khiến cho kẻ tấn công dễ dàng nghe trộm mạng trong một thời điểm và có được tất cả các thông tin cần thiết. WEP được sử dụng để các nút tự xác thực chúng với AP nhưng WEP còn nhiều điểm yếu. Kẻ tấn công nghe toàn bộ lưu lượng và tự giải mã để nắm được mật khẩu.
802.16
Cũng giống như mạng 802.11 việc giả mạo BS vẫn tồn tại. IEEE sử dụng giao thức PKM với một vài thông điệp được trao đổi giữa BS và SS để nhận dạng lẫn nhau. Quá trình xác thực SS được thực hiện như sau: SS gửi thông điệp tới BS chứa chứng nhận số X509 được xác định bởi nhà sản xuất. SS gửi trông điệp thứ hai mà không cần chờ đợi sự phản hồi từ BS. Thông điệp thứ hai này cũng chứa chứng nhận số X509 và khóa chung của SS, khả năng an ninh và SAID của SS. Chứng nhận số được sử dụng để BS biết khóa chung của SS để tạo một thông điệp phản hồi. Nếu BS cho phép SS được trao quyền nó sẽ đáp lại bằng một thông điệp thứ ba để khởi tạo SA giữa BS và SS. Nhưng BS lại không thực hiện xác thực với SS, vì vậy việc giả mạo BS hoàn toàn có thể.
3.2.2.4 Cuộc tấn công vào cơ chế sóng mang lớp vật lý 802.11 802.11
Gây nhiễu tần số là lỗ hổng an ninh tồn tại ở bất cứ mạng không dây nào. Tuy nhiên mức độ nguy hiểm rất khác nhau tùy thuộc vào giao diện lớp vật lý. Một số thông số sẽ quyết định khoảng chấp nhận của mạng như công suất phát, độ nhậy của thiết bị thu, tần số RF, băng tần và độ định hướng của anten. Mạng 802.11 sử dụng cơ chế truy nhập môi trường CSMA, được thực hiện ở lớp MAC. Cơ chế này dùng để đảm bảo không xảy ra xung đột dữ liệu trên đường truyền.
Nếu một nút muốn truyền tin, trước tiên nó phải lắng nghe sóng mang để biết rằng không có một nút nào trên mạng đang truyền tin. Nếu không thấy tín hiệu sóng mang nó mới có thể truyền tin.
Có một vài cách để thực hiện các giao thức sóng mang lớp vật lý. Cách đơn giản nhất là làm cho tất cả các nút trong mạng tin rằng có một nút khác đang truyền dẫn tại thời điểm hiện tại. Để đạt được điều này chỉ cần tạo ra một nút trái phép để truyền tin liên tục. Cách thứ hai là sử dụng bộ phát sóng RF
802.16
Chuẩn IEEE 802.16 sử dụng lớp MAC không cạnh tranh, chứ không sử dụng lắng nghe sóng mang lớp vật lý để điều khiển sự cho phép truyền tin. Thực tế có một vài khe cạnh tranh truyền dẫn tồn tại trong mỗi khung, việc phát hiện xung đột được thực hiện chứ không phải sự tránh xung đột.
Bất kỳ một yêu cầu mà SS tạo ra trong khe cạnh tranh sẽ không cần xác nhận vì nếu có xung đột thì yêu cầu đó sẽ được truyền lại trong một khe thời gian ngẫu nhiên khác. Tuy nhiên từ những bài học rút ra từ 802.11, kẻ tấn công sẽ phải thực hiện một cơ chế để đảm bảo sự cân bằng về hiệu suất sử dụng và phổ truyền dẫn.
Tất cả các trạm thuê bao SS phải nhận được UL-MAP để biết về lịch trình thời gian truyền dẫn, sơ đồ điều chế. Do đó kẻ tấn công muốn tấn công vào một SS cụ thể sẽ phải có được các thông tin cần thiết để tạo ra một sự truyền dẫn nguy hiểm mà sẽ xung đột với tuyến uplink hợp pháp. Để tấn công vào một SS cụ thể, kẻ tấn công phải tấn công với công suất tối thiểu bởi vì anh ta có thể rất gần với tín hiệu RF của SS hợp pháp.
Trong trường hợp này kẻ tấn công sẽ phải đồng bộ với mạng và trải qua quá trình initial ranging để đạt được sự tinh chỉnh về định thời và tần số truyền tin. Việc này rất cần thiết để kẻ tấn công có thể thực sự cạnh tranh với sự truyền dẫn của nạn nhân trong băng tần định trước. Nếu không thực hiện đồng bộ với sự truyền dẫn hợp pháp, kẻ tấn công sẽ chỉ cạnh tranh với thuê bao hợp pháp như một nguồn nhiễu chứ không phải là một tín hiệu hợp pháp và IEEE 802.16 có một vài cơ chế để xử lý với nguồn nhiễu trên kênh truyền dẫn.
Một kẻ tấn công khi đã đồng bộ với mạng và có được UL-MAP anh ta sẽ phải lựa chọn đích của mình. Bởi vì nhiều tuyến truyền dẫn được định ra bởi 1 CID, kẻ tấn công sẽ nhận được một tập các kết nối chứ không phải một kết nối của một SS cụ thể và như vậy kẻ tấn công sẽ không biết chính xác SS nào nó sẽ tác động đến nên mục đích ở đây sẽ là một tập các kết nối. Bước cuối cùng rất đơn giản là truyền tin ở một thời điểm định trước và sơ đồ điều chế biết trước.
Thông điệp được gửi đi có thể là thông điệp giả mạo, replayed hay cả hai. Tín hiệu của kẻ tấn công sẽ xung đột với sự truyền dẫn hợp pháp, và nó sẽ không được loại bỏ như một nguồn nhiễu, sự truyền dẫn nguy hiểm này sẽ cạnh tranh như một tín hiệu thông minh. Tùy thuộc vào mối quan hệ giữa công suất truyền dẫn của hai tín hiệu, tín hiệu được BS giải mã sẽ là tín hiệu yếu hơn, hay tín hiệu mà không thể hiểu được (unintelligible), hoặc BS sẽ để cho SS thiết lập lại do quá trình truyền dẫn mà tín hiệu đã bị méo.
Cuộc tấn công kiểu này rất có ích cho kẻ tấn công. Bởi vì sự tấn công ở đây rất nhanh gọn và không thể nhận ra sự khác biệt so với các thuê bao hợp pháp, nó rất khó bị phát hiện. Trong quá trình tấn công SS có thể bị loại ra khỏi mạng, hơn nữa trong quá trình tấn công BS có thể sẽ cung cấp những thông tin phản hồi tới kẻ tấn công thông qua UL-MAP. BS sẽ cố thông tin tới SS bị tấn công về sự cần thiết chọn sơ đồ điều chế và sửa lỗi trước mạnh hơn, kẻ tấn công sẽ sử dụng nhưng thông tin này để điều chỉnh công suất thấp nhất để anh ta không bị loại bỏ.