Da una breve occhiata - entrambe le descrizioni sono sostanzialmente corrette poiché 802.11 sta parlando tramite il router (pensate che sia un interruttore in questo contesto) per raggiungere la vostra casella. Da una prospettiva di livello superiore (il confine tra L2 e L3 - che in sostanza è l'ARP) il tuo modello è corretto. (Vittima > Attacker > Router)
Da uno strato inferiore, eventualmente il confine tra L1 e L2, entrambi i dispositivi stanno parlando al router, quindi (Victim - > AP - > Attacker - > AP - > Router - > Internet)
Quindi il dispositivo vittima indirizza un pacchetto all'attaccante e nel processo lo incapsula in un pacchetto 802.11 indirizzato all'Access Point. L'Access Point decapsula e decodifica quel pacchetto, crittografa e incapsula quel pacchetto indirizzato al malintenzionato.
Per rispondere alla tua altra domanda, se funziona, allora sì aggira la chiave transitoria (tenendo presente che conosci già la password per accedere alla rete).
Il modello OSI non è eccezionale nella pratica, ma è ancora il modo in cui penso alle cose ...
Per inciso, ogni router WiFi che ho provato negli ultimi anni (solo una manciata) ha rilevato lo spoofing ARP e bloccato o ha rinviato la vittima con l'indirizzo corretto, rendendosi conto che qualcosa non va. Dubito che sia così comune con AP perché il router è un dispositivo separato di cui l'AP non è a conoscenza. Raramente lo provo perché nella maggior parte dei casi è più semplice mascherare il bersaglio, quindi acquisire la chiave transitoria alla riconnessione.