Pinna Zero Il Flipper Zero è un dispositivo “hacking” tutto in uno. Puoi leggere, scrivere ed emulare NFC e RFID, inviare script BadUSB e altro ancora. Le sue capacità di lettura delle carte di credito lo hanno messo nei guai con Amazon.
E se combinassi il concetto classico e carino di un giocattolo per animali Tamagotchi con le capacità dei dispositivi hacker Sci-Fi? Conosci il tipo, reggilo e fa solo l’hacking, ignorando tutta la realtà. Bene, avresti quasi ottenuto il Pinna Zeroun prodotto molto reale che Amazon ha bandito dal suo negozio.
Secondo Amazon, la società ha vietato il Flipper Zero, un “multi-strumento portatile per pentester e geek in un corpo simile a un giocattolo” da $ 169, autodefinito, per aver infranto le sue regole contro i dispositivi di scrematura delle carte. L’accusa è che, in teoria, qualcuno potrebbe usare il Flipper Zero per rubare i dati della carta di credito e prosciugare il tuo conto bancario. A prima vista, il Flipper Zero non sembra un tradizionale scrematore di carte. Assomiglia davvero a un dispositivo digitale per animali domestici e, per molti versi, lo è. Ma vale la pena esaminare le capacità totali di Flipper Zero e quanto sono uniche (o non sono) per comprendere appieno la situazione.
Cos’è un Flipper Zero Pinna Zero Fondamentalmente, Flipper Zero è poco più di un giocattolo digitale per animali domestici e un multiutensile digitale racchiuso in un unico pacchetto. Cos’è un multiutensile digitale? Pensa al classico multiutensile che funge da sportello unico per tutto ciò che riguarda la costruzione. Tira fuori l’accessorio giusto e puoi tagliare, forbice, avvitare una vite e altro ancora.
Sulla stessa linea, Flipper Zero contiene una serie di antenne e strumenti digitali che gli consentono di svolgere più attività (ne parleremo tra poco). Tutto quell’hardware è racchiuso in una graziosa custodia con un semplice schermo. Accendilo e sarai accolto da un cucciolo di delfino con cui giocare, crescere e nutrire. Solo che invece di giocare ai giochi di bordo e dargli da mangiare cibo digitale come un Tamagotchi, il delfino vuole che tu hackeri il mondo. Mentre usi il suo hardware per interagire con i segnali del mondo reale con effetti diversi, il delfino crescerà e si evolverà.
L’azienda dietro il dispositivo non si tira indietro su cosa significhi “interagire con il mondo”. Dai un’occhiata al suo descrizione del sito web del dispositivo:
Flipper Zero è un multi-strumento portatile per pentester e geek in un corpo simile a un giocattolo. Ama l’hacking di materiale digitale, come protocolli radio, sistemi di controllo degli accessi, hardware e altro ancora.
Quindi cosa puoi “hackerare” con un Flipper Zero? Beh, un sacco di roba.
Cosa può fare Flipper Zero? Scopri le specifiche del Flipper Zero:
Sistema operativo: FreeRTOS processore: STMicroelectronics STM32WB55 Memoria: 256 KB RAM, 1024 KB Flash Rimovibile magazzinaggio: Micro SD (fino a 256 GB) Schermo: LCD monocromatico da 1,4 pollici, 128 × 64 pixel Connettività: NFC, RFID 125 khz, radio Sub-1 GHz, porta a infrarossi, Bluetooth LE Porti: pin GPIO, USB 2.0, 1 filo Dimensioni: 100 x 40 x 25 mm Massa: 104 grammi Questo è tutto l’hardware necessario per interagire con alcuni segnali digitali nel mondo.
Intercetta segnali remoti Utilizzando la radio sub-1 GHz, il Flipper Zero può intercettare ed emulare i segnali inviati dal telecomando di un veicolo per sbloccare e bloccare un’auto. Ma questo è un po’ limitato, poiché la maggior parte delle auto moderne utilizza uno schema di “crittografia continua”. Flipper Zero potrebbe registrare il codice appena inviato dal tuo telecomando, ma non sarà utile poiché il codice era un evento unico. Tuttavia, le auto più vecchie non hanno la stessa protezione e, in teoria, un Flipper Zero potrebbe essere utilizzato per sbloccare un veicolo del genere.
Quella stessa radio può intercettare anche altri segnali wireless, come quelli utilizzati per le barriere stradali o i sensori IOT. Questo è tutto ciò di cui hai bisogno per cambiare teoricamente i segni in una stazione di servizio, far scattare annunci in un Walgreens o negozi simili e aprire le serrature. La radio che lo rende possibile è effettivamente possibile acquistarla direttamente su Amazon e teoricamente potresti creare il tuo hardware per meno soldi con le stesse capacità.
Leggi e clona schede e dati RFID Grazie al suo Radio RFID, un Flipper Zero può leggere, salvare, emulare e forzare le carte RFID. Potresti non pensare di avere uno di questi, ma è probabile che tu ne abbia almeno usato uno. Se sei stato in un hotel che ti consente di toccare una carta per aprire la porta, probabilmente hai usato una carta RFID. Questi spesso non sono crittografati, quindi in teoria un Flipper Zero potrebbe clonare la chiave di un hotel e quindi sbloccare una stanza. Se la persona in questione ha avuto accesso abbastanza vicino alla tua chiave.
Allo stesso modo, anche i passaporti utilizzano l’RFID. Tuttavia, questi sono crittografati con una chiave generata per la data di scadenza del tuo passaporto e la tua data di nascita. Quindi, se qualcuno ha rubato il tuo passaporto, potrebbe potenzialmente violare la crittografia. Se hanno il tuo passaporto, però, hai problemi peggiori.
Teoricamente, un Flipper Zero potrebbe anche forzare i blocchi RFID, ma sarebbe probabilmente difficile. La maggior parte dei lucchetti RFID dispone di protezioni per impedire esattamente che ciò accada. D’altra parte, lo stesso chip consente anche al Flipper Zero di leggere i microchip degli animali domestici, dandoti la possibilità di scoprire almeno alcune informazioni su un animale domestico smarrito senza portarlo dal veterinario se il chip non è crittografato.
Ancora una volta, tutte queste funzionalità sono disponibili tramite una radio facile da ottenere e potresti teoricamente costruire tu stesso un dispositivo in grado di svolgere le stesse funzioni.
Leggi Scrivi ed Emula NFC Poiché l’NFC è nato dall’RFID, non dovrebbe sorprendere che anche Flipper Zero possa leggere, scrivere ed emulare l’NFC. Proprio come l’RFID, quanto può fare il Flipper Zero si riduce alla crittografia. La maggior parte dei chip NFC moderni utilizza la crittografia, limitando ciò che può fare anche il Flipper Zero.
Ma se il chip NFC in questione, che si tratti di un adesivo, una scheda o un dispositivo, è una versione precedente senza crittografia, il Flipper Zero può leggerlo, scriverci (se lo accetta) ed emulare il chip NFC . NFC viene utilizzato anche per sbloccare alcune porte, ma anche in questo caso la maggior parte dei moderni lucchetti NFC utilizza la crittografia che blocca il Flipper Zero.
La grande eccezione sono le carte di credito tap-to-pay. Le carte di credito tap-to-pay si basano su NFC e non sono crittografate a causa del loro funzionamento. Prendine uno vicino al Flipper Zero e può estrarre una grande quantità di informazioni sulla tua carta. Ma le carte di credito tap-to-pay in genere non trasmettono il CVV, il codice postale o il nome del titolare della carta. Per ottenere tutto ciò, l'”hacker” dovrebbe rubare la tua carta di credito. A questo punto hai problemi peggiori di quelli che il Flipper Zero può creare.
Non entreremo molto, ma Flipper Zero ha anche tutto l’hardware necessario per leggere, scrivere ed emulare anche i tasti iButton. Si tratta di vecchi sistemi di chiusura che a volte si trovano negli appartamenti e negli uffici. Dovresti toccare i due punti di contatto di una chiave iButton sui punti di contatto sul lucchetto. Con l’accesso alla chiave iButton, puoi copiare i dati e sbloccare la porta senza la chiave vera e propria. Ancora una volta, puoi acquistare tutte le parti necessarie per realizzare questo trucco senza un Flipper Zero.
Componenti aggiuntivi BadUSB Se possiedi un computer Windows o un dispositivo macOS, allora conosci fin troppo bene l’USB. Ciò di cui potresti non renderti conto è la vulnerabilità di cui soffrono quei dispositivi, soprannominato BadUSB. In breve, qualcuno potrebbe lasciare un flash drive in giro, sperando che tu lo raccolga, e poi quando lo colleghi al tuo laptop pensando “dolce nuovo drive”, può caricare macro e script per fare cose terribili al tuo computer. Qualunque cosa un hacker possa fare con l’accesso diretto al tuo computer, potrebbe farlo con un dispositivo BadUSB.
Ancora una volta, e spero che tu abbia già notato lo schema, puoi facilmente creare un dispositivo BadUSB, anche con un po’ di fatica, utilizzando parti che puoi trovare su Amazon. Un dispositivo ben costruito non sarebbe molto più grande di un’unità flash, quindi potresti nasconderlo sul retro di un PC tower e farlo passare inosservato. L’unica cosa che Flipper Zero ha da offrire, tuttavia, sono le capacità remote. Se lo hai collegato a un dispositivo Windows o Mac tramite un cavo USB, puoi controllarlo dal tuo telefono altrove.
Pin GPIO per espansioni Se hai mai visto un Raspberry Pi, probabilmente lo conosci pin GPIO. Assomigliano a una serie di perni metallici e puoi usarli per collegare altri dispositivi di circuiti stampati. Il Flipper Zero ha anche pin GPIO e con esso puoi dargli funzionalità aggiuntive come un modulo Wi-Fi, fotocamere, schede di sviluppo e altro.
Flipper Zero vende già diverse opzioni e altre terze parti hanno sviluppato ancora più schede. Qui sta il potenziale pericolo. In teoria, potresti aggiungere una scheda che dia al Flipper Zero 2,4 GHz funzionalità RF, che potrebbe quindi intercettare alcuni segnali di tastiera e mouse wireless ed emularli. Ancora una volta, i dispositivi wireless più recenti hanno rafforzato la sicurezza per prevenire questo scenario esatto, ma molte tastiere e mouse wireless più vecchi sono ancora nelle case.
Perché Amazon ha bandito Flipper Zero Flipper Zero è iniziato come un prodotto Kickstarter di grande successo che ha effettivamente mantenuto tutte le sue promesse (un evento estremamente raro), prima di diventare disponibile sul sito Web del suo negozio. Alla fine, però, è arrivato su Amazon.
Ma nei giorni scorsi Amazon ha bandito Flipper Zero e qualsiasi ricerca per il dispositivo ora produce solo accessori come custodie, schede aggiuntive, ecc. Perché Amazon ha bandito Flipper Zero? Perché l’azienda considera il dispositivo come uno “skimmer di carte di credito”.
Amazon ha politiche specifiche contro gli skimmer di carte di credito e, a quanto pare, la capacità di leggere qualsiasi dato dalle carte tap-to-pay è stata sufficiente per attivare tali regole. Come riportato da Bleeping ComputerAmazon ha inviato avvisi ai venditori di terze parti con tale spiegazione, affermando:
Questo prodotto è stato identificato come dispositivo di scrematura delle carte. La politica di Amazon vieta la vendita o l’elenco dei dispositivi di scrematura delle carte. … Abbiamo intrapreso questa azione perché questo prodotto non è consentito per la vendita su Amazon.com. È tuo obbligo assicurarti che i prodotti che offri siano conformi a tutte le leggi, i regolamenti e le politiche di Amazon applicabili.
Ancora una volta, mentre il Flipper Zero può estrarre una quantità allarmante di informazioni dalle carte tap-to-pay, non è niente che nessun altro lettore RFID/NFC come questo potrebbe estrarre. E avresti comunque bisogno della carta effettiva a portata di mano per effettuare qualsiasi acquisto. Questa preoccupazione potrebbe essere evitata se le carte tap-to-pay funzionassero in modo simile a iPhone e telefoni Android. Questi dispositivi trasmettono dati wireless monouso. Anche se intercettati, sono dati inutili che non porteranno a nulla.
Ma sono i negozi Amazon, e deve stabilire le regole.
Flipper Zero è un dispositivo difettoso? Se ti stai chiedendo se il Flipper Zero sia un “dispositivo hacker” che non dovrebbe essere consentito sul mercato, beh, la risposta è complicata nella migliore delle ipotesi. Nulla di ciò che fa il Flipper Zero è tecnicamente illegale. È quello che fai con quelle capacità che varcano la soglia del legale per diventare illegale. Aprire una porta non è illegale. Aprire la porta di qualcun altro senza permesso è illegale. Questo è il caso se usi un dispositivo digitale, grimaldelli o persino chiavi per quel lucchetto.
Lo stesso si può dire di quasi tutte le capacità di Flipper Zero. E in verità, nulla che il Flipper Zero possa fare è così unico. Spero che tu abbia notato lo schema sopra in cui in ogni caso l’hardware utilizzato da Flipper Zero è prontamente disponibile e facile da acquistare. Puoi creare il tuo “Flipper Zero” personalizzato, tutto ciò che ti mancherebbe è il delfino informatico che si arrabbia con te per non aver violato le cose abbastanza spesso.
La differenza qui, però, è la barriera di ingresso. Acquistare le parti, costruire e programmare il proprio dispositivo in grado di intercettare i segnali del telecomando dell’auto o emulare le chiavi magnetiche dell’hotel era più difficile. Anche quando potevi acquistare un dispositivo che faceva tutto questo, era attraverso un losco mercato grigio.
Il Flipper Zero abbassa significativamente la barriera d’ingresso. È conveniente a meno di $ 200, può essere modificato per fare di più e ha una comunità pronta e disposta a insegnarti come ottenere il massimo da esso. Puoi persino installare s cript da GitHub senza alcuna reale conoscenza del codice. Trova quello che fa quello che vuoi, scarica e installa.
Teoricamente, il Flipper Zero è uno strumento e l’utente è nefasto. In pratica, la capacità di commettere atti nefasti è coadiuvata dalla facilità d’uso di Flipper Zero. Puoi sostenere che la responsabilità ricade sull’utente dello strumento o che alcuni strumenti non dovrebbero essere così prontamente disponibili. In entrambi i casi, Flipper Zero ha fatto un buon lavoro nell’illuminare le vulnerabilità comuni nella nostra vita quotidiana. Se queste vulnerabilità non vengono corrette, il dibattito non avrà molta importanza in entrambi i casi.
