Kerentanan terbesar dalam sejarah Wi-Fi: Serangan AirSnitch dapat melakukan serangan Man-in-the-Middle untuk menyadap "semua pesan yang tidak dienkripsi", serta pencemaran DNS

Keamanan peneliti mengungkapkan sebuah teknik serangan Wi-Fi baru bernama “AirSnitch” yang dapat melakukan serangan Man-in-the-Middle (MitM) sepenuhnya dua arah tanpa memecahkan enkripsi WPA2/WPA3 yang ada, dengan memanfaatkan manipulasi lapisan dasar jaringan untuk melewati mekanisme isolasi pengguna.

（Latar belakang: Kisah di balik kelompok peretas Korea Utara Lazarus: Bagaimana mereka melakukan perampokan terbesar di Web3 dengan keyboard）

（Tambahan latar: Kejahatan dibantu AI! Peretas dengan Anthropic Claude dengan mudah membobol pemerintah Meksiko, mencuri 150GB data sensitif）

Daftar Isi

Toggle

• Bukan memecahkan, tapi “melewati”
• Perangkat apa saja yang terpengaruh? Hampir semua
• Meski ada HTTPS, tetap tidak aman

Universitas Riverside California dan tim riset DistriNet dari KU Leuven Belgia, pada 25 Februari 2026 di San Diego, secara resmi mempublikasikan makalah penelitian berjudul 《AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks》, mengungkap sebuah metode serangan Wi-Fi baru yang sangat luas pengaruhnya.

Serangan ini dinamai “AirSnitch”, yang inti dari teknik ini bukan memecahkan enkripsi Wi-Fi, melainkan dari struktur jaringan yang lebih dasar, melewati perlindungan enkripsi.

Bukan memecahkan, tapi “melewati”

Standar keamanan Wi-Fi saat ini (WPA2 dan WPA3) dirancang dengan asumsi bahwa perangkat berbeda dalam satu jaringan akan dipisahkan melalui mekanisme “isolasi klien” (Client Isolation), sehingga perangkat A tidak bisa langsung melihat lalu lintas perangkat B. Ini adalah garis pertahanan dasar di jaringan perusahaan, Wi-Fi hotel, kedai kopi, dan lain-lain.

Serangan AirSnitch menargetkan garis pertahanan ini.

Peneliti menemukan bahwa standar Wi-Fi tidak membangun hubungan kriptografi antara port fisik (lapisan 1), alamat MAC (lapisan 2), dan alamat IP (lapisan 3). Kekurangan struktural ini memungkinkan penyerang menyamar sebagai perangkat korban, sehingga access point (AP) salah mengirimkan lalu lintas yang seharusnya ke korban, malah ke penyerang.

AirSnitch melakukan serangan dengan tiga teknik:

• Pemalsuan MAC (Downlink hijacking): Penyerang memalsukan MAC korban, menipu AP agar mengirimkan lalu lintas turun (dari router ke perangkat) ke dirinya sendiri
• Pencurian port (Port Stealing): Penyerang mengaitkan MAC korban ke BSSID lain, sehingga logika pertukaran internal AP mengikat ulang port, lalu lintas korban dienkripsi dengan kunci milik penyerang
• Penyamaran gateway (Uplink hijacking): Penyerang menyamar sebagai perangkat gateway internal, menyadap lalu lintas uplink dari korban ke luar

Ketiga teknik ini secara kolektif membentuk serangan MitM dua arah sepenuhnya. Penyerang dapat menyadap, melihat, dan mengubah semua lalu lintas masuk dan keluar korban.

Perangkat apa saja yang terpengaruh? Hampir semua

Peneliti menguji berbagai router dan firmware komersial, hasilnya semua rentan terhadap serangan ini. Perangkat yang diuji meliputi:

• Netgear Nighthawk x6 R8000
• Tenda RX2 Pro
• D-LINK DIR-3040
• TP-Link Archer AXE75
• Asus RT-AX57
• Firmware sumber terbuka DD-WRT v3.0-r44715 dan OpenWrt 24.10

Selain itu, peneliti juga berhasil mereplikasi serangan di jaringan perusahaan di dua universitas. Ini membuktikan bahwa AirSnitch bukanlah kerentanan spesifik merek atau model tertentu, melainkan kekurangan mendasar pada arsitektur protokol Wi-Fi. Baik di rumah, komersial, maupun lingkungan perusahaan, selama menggunakan standar Wi-Fi saat ini, rentan terhadap serangan ini.

Meski ada HTTPS, tetap tidak aman

Banyak pengguna mengira bahwa selama browser menunjukkan ikon gembok (HTTPS), data mereka aman. Tapi AirSnitch mampu melakukan berbagai cara untuk melewati HTTPS.

Untuk lalu lintas yang masih dikirim dalam bentuk plaintext, termasuk banyak lalu lintas internal perusahaan melalui HTTP, penyerang bisa langsung membaca password, cookie autentikasi, data kartu pembayaran, dan data sensitif lainnya, bahkan mengubah isi secara real-time.

Untuk koneksi HTTPS yang terenkripsi, penyerang tidak bisa langsung memecahkan isi, tetapi tetap bisa: menyadap lalu lintas DNS, mengetahui domain yang dikunjungi korban; dan melalui IP eksternal situs, seringkali bisa menelusuri URL spesifik.

Lebih jauh lagi, dengan DNS Cache Poisoning, penyerang bisa menyisipkan catatan palsu ke cache DNS sistem operasi korban, dan dengan teknik SSL Stripping, menipu korban agar memasukkan username dan password di halaman yang tampak aman.

Risiko tertinggi tentu di Wi-Fi publik, jadi berhati-hatilah saat bekerja di kedai kopi nanti.