Investigando con Mr Google encontré un foro ( www.corelan.be ), donde entre otras buenas cosas aparece este articulo:

" Dos japoneses de las universidades de Hiroshima y de Kobe que han encontrado una forma práctica para romper WPA TKIP en un minuto, utilizando una técnica llamada "Beck-Tews".
 
Esta técnica no es nueva fue descubierta por algunos alemanes en noviembre, pero el uso era un poco limitado (QoS se requiere) (y que nos llevó unos 15 minutos para romper la clave).

Ahora bien, esta limitación se ha roto usando mitm + un nuevo algoritmo para aplicar la técnica. "

El enlace del pdf del articulo:
http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

Siempre que hayan podido deducir el algoritmo y los pasos de cifrado en base a las contraseñas aportadas. No todo es por arte de magia. Hay mucho trabajo detrás.
Volviendo a "romper" el TKIP, significa que ya no se necesita un programa para saber la contraseña y ver por donde se navegaba.

Segun el documento publicado por esta gente:

" El atacante se comporta como un repetidor, es decir, todos paquetes que incluyan baliza SSID son reinstalados en el equipo atacante sin ninguna modificación, y de nuevo renviados al cliente. si
el atacante quiere falsificar un paquete cifrado, simplemente lo sustituye y lo reenvia. Este método no se detecta fácilmente.
 En el modelo, el atacante envía el paquete usando antenas direccionales. Dado que el paquete de la atacante no alcanza el remitente, el ataque no se detecta fácilmente. "

Creo que tras el descubrimiento de este bug, se desarrolló Tkiptun-ng, la informacion de este programa está en: http://www.aircrack-ng.org/doku.php?id=tkiptun-ng

Y la base teórica aquí:
 http://download.aircrack-ng.org/wiki-files/doc/tkip_master.pdf

he visto un par de videos de Tkiptun-ng en YouTube, pero no he investigado demasiado.