Language
Flipper Zero-Rezension
HeimHeim > Blog > Flipper Zero-Rezension
NEUESTEN NACHRICHTEN

Flipper Zero-Rezension

Jul 10, 2023

Erweiterbar

Einfacher Einstieg

Praktische mobile Apps

Teuer

Erweiterte Funktionen erfordern Fachwissen

Erinnern Sie sich an Tamagotchi, das digitale Haustier der 90er-Jahre, das Teenager auf der ganzen Welt begeisterte? Es war ein Simulator, der auf einem kleinen Gerät lief, das man mit sich herumtrug und digital fütterte. Wenn Sie es nicht täten, würde es irgendwann sterben. Es handelte sich um ein Experiment der anthropomorphen Technologie, das zeigte, wie mächtig es ist, einem einfachen Softwarealgorithmus Persönlichkeit zuzuschreiben, aber das Programm selbst tat nicht viel mehr, als sich niedlich zu verhalten und zu verlangen, gefüttert zu werden.

Was ist Penetrationstest?

Fast 30 Jahre später haben wir leistungsstärkere Miniaturelektronik sowie kleine, leistungsstarke Antennen. Dies veranlasste die Ingenieure Alex Kulagin und Pavel Zhovner, ein Gerät im Tamagotchi-Stil zu entwickeln, das Geeks tatsächlich nützlich finden würde.

Der Flipper Zero ist eine Universalfernbedienung, die alles scannt, klont und manipuliert, von Infrarotsteuerungen bis hin zu NFC-Karten. Es handelt sich um ein kleines Paket leistungsstarker Sensoren und Sender, das von einer intelligenten Sammlung von Open-Source-Anwendungen gesteuert wird. Dadurch ist eine Community von Anwendungs- und Firmware-Entwicklern entstanden. Das Produkt ist auf Erweiterbarkeit ausgelegt und verfügt über GPIO-Pinbelegungen, die auch als Inspiration für eine Sammlung von Hardware-Add-Ons dienten.

Der Flipper Zero wird mit einem süßen kleinen Aufkleber, einer Kurzanleitung und einem Kabel zum Laden und Aktualisieren des Geräts über den USB-C-Anschluss geliefert. Es wird nicht viel bringen, bis Sie eine Micro-SD-Karte einlegen, um die Datenbank und Apps des Geräts zu speichern.

Das erste, was Benutzer nach dem Einsetzen ihrer Karte tun sollten, ist, die Firmware auf die neueste Version zu aktualisieren. Sie müssen eine Verbindung mit einem anderen Gerät herstellen, um den Firmware-Download und die Installation zu verwalten. Flipper Zero bietet hierfür zwei Möglichkeiten. Die erste besteht darin, eine Verbindung über eine mobile App herzustellen, die für iOS oder Android verfügbar ist. Dieser nutzt Bluetooth zur Kommunikation mit dem Gerät.

Die Alternative ist qFlipper, eine Desktop-App zur Steuerung eines über USB angeschlossenen Flipper Zero. Dies ist für Windows, macOS und Linux verfügbar. Sie können damit nicht nur die Firmware aktualisieren oder reparieren, sondern erhalten auch eine Desktop-Version der integrierten Schnittstelle des Flipper Zero, die Sie aus der Ferne steuern können.

Wenn Sie diese integrierte Schnittstelle direkt vom Flipper Zero aus steuern, verwalten Sie sie über die bereitgestellten Tasten, die Menübewegungen in vier Richtungen, eine Auswahltaste und eine Zurück-Taste unterstützen. Kulagin und Zhovner haben die Benutzeroberfläche des Geräts gut gestaltet und ein navigierbares System in ein altmodisches LCD mit einer Auflösung von 128 x 64 Pixel gepackt.

Was können Sie also mit dem Flipper Zero machen? Das erste, was die meisten Leute ausprobieren werden, ist der Infrarotsender. Damit können Sie eine Reihe von Geräten steuern, vom Fernseher bis zur Klimaanlage. Mit einer Universalfernbedienung können Sie automatisch durch grundlegende Signale wie Ein-/Aus-Tasten blättern und alle bekannten Kombinationen ausprobieren. Dadurch können Menschen, die nichts Besseres zu tun haben, automatisch die Fernseher anderer Leute ausschalten, sehr zum Ärger von Barbesitzern und Leitern von Elektrogeschäften überall.

Das Durchlaufen von Hunderten von TV-Stromsignalen dauert ein oder zwei Minuten. Für eine bessere Leistung kann der Flipper Zero lernen, wie Sie Ihre spezifische Fernbedienung emulieren, indem Sie ihn in den Lernmodus versetzen, die Fernbedienung darauf richten und den Anweisungen folgen. Alternativ stellt ein iRDB-GitHub Hunderte von Codes für Dutzende Gerätekategorien bereit, die Sie auf Ihren PC herunterladen und dann auf den Flipper Zero übertragen können.

Der Flipper Zero bietet erweiterte Einsatzmöglichkeiten, darunter das Lesen, die Emulation und das Klonen von NFC-Karten. Es liest Karten basierend auf Unterspezifikationen des MIFARE-Standards. Dazu gehört MIFARE Classic, das einen Kryptografiestandard namens Crypto-1 verwendet, den Forscher 2008 geknackt haben.

Auch wenn es inzwischen Anleitungen und Schlüssel für MIFARE Classic-Karten gibt, gehören sie immer noch zu den beliebtesten. Es gibt Millionen davon und bieten Zugang zu allem, vom Fitnessstudio bis zum Hotelzimmer. Der Flipper Zero nutzt einen Wörterbuchangriff, der auf bekannten Verschlüsselungsschlüsseln basiert, um zu versuchen, Sektoren einer MIFARE Classic-Karte zu lesen. Wir lasen einen, der sich als MIFARE Classic Mini herausstellte, und bekamen vier von fünf Sektoren.

Wie wird man ein ethischer Hacker?

Selbst wenn Sie nicht über alle Sektoren der Karte verfügen, können Sie sich in einem schlecht gesicherten System möglicherweise dennoch mit einem Lesegerät authentifizieren, indem Sie nur die UID der Karte verwenden. Wenn die Entwickler des Sicherheitssystems jedoch kompetenter wären und das Lesegerät Zugriff auf die Sektoren der Karte benötigt, könnte der Flipper Zero mit einem weiteren Angriff versuchen, die Lücken zu schließen. Dazu gehört die direkte Kommunikation mit dem Leser und die Ausnutzung von Fehlern in Crypto-1, um an weitere Schlüssel zu gelangen.

Die Karte kann auch andere Frequenzen lesen, darunter 125-kHz-RFID-Chips, wie sie beispielsweise in Schlüsselanhängern und Armbändern zu finden sind. Sie können auch die Mikrochips auslesen, die Tierärzte zur Identifizierung von Tieren verwenden. Für diese gibt es eine besondere Option, da diese Chips außerhalb des 125-KHz-Bandes arbeiten. Das hat bei meinem ziemlich verwirrten Hund gut funktioniert, nachdem wir den Chip gefunden hatten.

Der Flipper Zero kann auch Sub-GHz-Frequenzen im Bereich von 300–928 ​​MHz lesen, die häufig zur Steuerung von Toren, Schranken, drahtlosen Türklingeln und Ihrem Garagentor verwendet werden. Normalerweise möchten Sie eine Sub-1-GHz-Fernbedienung, die Sie bereits besitzen, mithilfe der Funktion „Manuell hinzufügen“ hinzufügen, die auf eine Liste bekannter Protokolle verweist. Dadurch würde eine virtuelle Fernbedienung für den Flipper Zero erstellt, die Sie dann mit Ihrem Sub-1-GHz-Lesegerät koppeln können. Es gibt auch Anwendungen, die denjenigen, die auf Unfug stoßen, dabei helfen können, Geräteschlüssel brutal zu erzwingen.

Der Flipper Zero verfügt außerdem über integrierte Kontaktlesegeräte für iButton, eine Technologie, die für Anwendungen wie den Zugang zu Gebäuden und Sicherheitskräften verwendet wird. Das Flipper Zero-Team hat hierfür ein eigenes, maßgeschneidertes Kontaktpad entwickelt. Sie können einen Schlüssel entweder direkt mit diesem Gerät auslesen oder seine ID manuell eingeben, wenn Sie diese kennen.

Wenn Sie es satt haben, den Fernseher einzuschalten und zu versuchen, Ihren Hotelzimmerschlüssel mit Ihrem Flipper Zero zu reproduzieren, können Sie ihn als Sicherheitsschlüssel für den Online-Zugriff verwenden. Viele Websites verwenden die Zwei-Faktor-Authentifizierung, sodass Sie neben Ihrem Passwort einen weiteren Authentifizierungsfaktor angeben können. Bei diesem zweiten Faktor handelt es sich häufig um einen Code, der an Ihr Telefon gesendet wird und den Sie dann auf der Website eingeben. Das bedeutet, dass sich nur jemand mit Ihrem Telefon auf der Website anmelden kann.

Bedauerlicherweise verwenden einige Websites immer noch SMS als zweiten Faktor, um diesen Code an Ihr Telefon zu senden, obwohl eine Flut von SIM-Jacking-Angriffen NIST dazu veranlasste, SMS als zweiten Faktor abzulehnen. Andere verwenden eine sicherere Authentifizierungs-App auf ihrem Telefon, bei der Sie immer noch einen Einmalcode eingeben müssen. Das ist sicherer, aber immer noch unbequem.

Erfahren Sie, wie Endpoint-Management und Endpoint-Sicherheit zusammenwachsen und was zukünftige Sicherheitsstrategien beeinflusst.

KOSTENLOS HERUNTERLADEN

Sicherheitsschlüssel sind der nächste Schritt. Universal Second Factor (U2F) ist ein von der FIDO Alliance erstellter Standard. Anstatt dass Sie einen Code eingeben müssen, werden asymmetrische Verschlüsselungsschlüsseldaten gespeichert, mit denen Sie sich auf Websites und Browsern authentifizieren können, die den Standard unterstützen.

Wenn Sie einen Sicherheitsschlüssel bei einer Site registrieren, führt die Anmeldung mit Ihrem Passwort zu einer U2F-Authentifizierungsabfrage. Durch Drücken einer Taste auf dem Sicherheitsschlüssel, der normalerweise über einen USB-Anschluss angeschlossen ist, wird die Authentifizierung durchgeführt. Es ist eine weitere Sicherheitsebene in einem Internet, das von Kontoübernahmen heimgesucht wird.

Der Flipper Zero wird mit einer U2F-App geliefert, mit der Sie ihn als Schlüssel verwenden können. Es dauert nur wenige Sekunden, um in dem Webdienst Ihrer Wahl (wir haben Google verwendet) auf die U2F-Sicherheitsoptionen zuzugreifen und das Gerät zu registrieren, indem Sie den Anweisungen auf dem Bildschirm folgen und zur Bestätigung die entsprechende Taste drücken. Es funktionierte wie ein Zauber, als wir uns mit einem anderen Browser anmeldeten, in dem wir keine aktuelle OAUTH-Sitzung für die Site hatten.

Allerdings gibt es hier einen Vorbehalt; Der Flipper Zero ist kein zertifiziertes hardwarebasiertes Gerät. Das bedeutet, dass Ihre Schlüssel in der Software verwaltet werden und nicht durch eine geschützte Hardwareschicht. Die Macher von Flipper Zero warnen ausdrücklich davor, es für hochsensible Dienste wie Finanzseiten zu verwenden.

Schade, dass es Flipper Zero angesichts der Funk-Zauberei des Geräts nicht für angebracht gehalten hat, die U2F-Funktion NFC-kompatibel zu machen. U2F über NFC ist eine Sache und sehr nützlich für Smartphone-Verbindungen, bei denen Sie einen Schlüssel nicht einfach über einen USB-Anschluss anschließen können.

Der Vorteil der Verwendung des Flipper Zero als USB-basierter U2F-Schlüssel besteht jedoch darin, dass Sie ihn an Ihrem Schreibtisch immer anschließen sollten. Das bedeutet, dass es immer aufgeladen ist, obwohl die Akkulaufzeit bei diesem Gerät normalerweise kein Problem darstellt. Es ist so konzipiert, dass es eingeschaltet bleiben kann (es verfügt sogar über eine Uhr-App), und ein kurzer Test ergab, dass es mehrere Tage lang läuft und dabei noch viel Akkulaufzeit hat. Die Standard-Firmware zeigt den Akkuladestand auf dem Hauptanimationsbildschirm an.

Es gibt noch eine weitere Funktion, die wie die Kartenleser- und Emulator-Apps für gute oder schlechte Zwecke genutzt werden kann. Mit BadUSB kann ein angeschlossener Flipper Zero wie eine Tastatur als menschliches Schnittstellengerät fungieren. Anschließend werden Befehle ausgeführt, die in einer Skriptsprache namens DuckyScript geschrieben und als Datei auf dem Gerät gespeichert sind. Das bedeutet, dass Sie den Flipper Zero an einen PC anschließen und alles tun lassen können, was Sie möchten, sofern Sie über die entsprechenden Anmeldeinformationen verfügen.

Sie können dies für alle erdenklichen schändlichen Zwecke verwenden, aber Sie können es auch für gute Zwecke verwenden. Während viele Leute wahrscheinlich PowerShell, Python oder Bash-Skripte zur Automatisierung verwenden würden, beschrieb ein Online-Benutzer, wie sie das Gerät zur Automatisierung einer großen Anzahl neuer Maschinen-Setups verwendeten. Sauber.

Der vielleicht beste Teil des Flipper Zero ist seine Erweiterbarkeit. Neben den GitHub-Repositories, die benutzerdefinierte Firmware, Gerätedatensätze und Anwendungen bieten, verfügt die mobile Flipper Zero-App jetzt über einen App Store, der es Benutzern ermöglicht, eine Reihe von Apps über Bluetooth auf dem Gerät zu installieren. Von RFID-Fuzzern über Pomodoro-Timer bis hin zu Kartenspielen gibt es alles, und die Installation ist ein Kinderspiel.

Die GPIO-Pinbelegungen am Gerät bieten außerdem attraktive Hardware-Erweiterungen, sodass Drittentwickler Geräte erstellen können, die neue Funktionen bieten. Dazu gehört alles von Magnetstreifen-Emulatoren bis hin zu Wi-Fi-Entwicklungsplatinen, mit denen Sie Hacking-Tools für drahtlose Netzwerke ausführen können. Dies kann den Nutzen eines bereits beeindruckenden Geräts drastisch steigern.

Sie könnten befürchten, dass der Flipper Zero für Straftaten missbraucht werden könnte, und Sie haben Recht. Ein Stalker, der Zugriff auf den iButton-Schlüssel für das Gebäude oder die Wohnung seines Opfers erhält, könnte gefährlich sein.

Das Team von Flipper Zero hat die Firmware speziell so konzipiert, dass sie keine Rolling Codes unterstützt. Moderne Auto-Schlüsselanhänger verwenden diese synchron mit dem Fahrzeug als eine Art One-Time-Pad, wobei der Zugangscode jedes Mal geändert wird. Mittlerweile gibt es jedoch mindestens eine inoffizielle Firmware-Version, die die Unterstützung von Rolling Codes eingeführt hat.

Es gibt mehr Hacking-Tools, die in bestimmten Bereichen wie NFC-Hacking mehr Funktionalität bieten als der Flipper Zero, aber der Reiz dieses Geräts liegt in seiner Allgegenwärtigkeit in einem kleinen Formfaktor. Es kann so viele Dinge tun und bleibt dabei tragbar. Sie müssen jedoch Zeit und Recherche investieren, um dieses äußerst vielseitige kleine Juwel wirklich nutzen zu können.

Es wird drei Arten von Flipper Zero-Benutzern geben. Der erste wird ein paar freche Apps herunterladen und sie für Streiche verwenden, wie zum Beispiel das Öffnen der Ladeanschlüsse an zufällig ausgewählten Teslas, bis sie alt werden. Dann lassen sie es ungenutzt auf einem Regal stehen. Der zweite wird nach dem Zugriff auf die Grundfunktionen ins Stocken geraten, wird aber am Ende als Universalfernbedienung für Dinge im Haus und vielleicht als U2F-Taste verwendet.

Die dritte Art von Benutzern taucht tiefer in die Funktionalität ein und nutzt sie als Grundlage für Elektronikprojekte, indem sie ihre Erweiterbarkeit voll ausnutzt. Teure Werkzeuge bieten Ihnen genauso viel Wert wie die Mühe, die Sie in sie stecken. Wenn Sie also mehr als hundert Dollar für eines davon ausgeben, stellen Sie sicher, dass Sie mindestens zur zweiten und vorzugsweise zur dritten Kategorie gehören.

Danny Bradbury ist seit 1989 Printjournalist mit Spezialisierung auf Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit sowie seine Kunst- und Kulturschriften gewonnen. Danny schreibt über viele verschiedene Technologiethemen für Zielgruppen, die von Verbrauchern bis hin zu Softwareentwicklern und CIOs reichen. Darüber hinaus verfasst er Ghostwriter-Artikel für zahlreiche Führungskräfte im Technologiesektor und war als Moderator für mehrere Webinare und Podcasts tätig.

Warum The Matrix Vertriebspartnern wertvolle Erkenntnisse zur Datensouveränität bietet

Förderung einer sicherheitsorientierten Denkweise

Qakbot wurde offline geschaltet, aber die Geschichte deutet darauf hin, dass dies wahrscheinlich nicht für immer der Fall sein wird

Von Dave Mitchell, 9. August 2023

Von Darien Graham-Smith, 7. August 2023

Von Dave Mitchell, 4. August 2023

Von Alun Taylor, 02. August 2023

Von Dave Mitchell, 31. Juli 2023

Von Dave Mitchell, 28. Juli 2023

Von Dave Mitchell, 26. Juli 2023

Von Dave Mitchell, 24. Juli 2023

Von Dave Mitchell, 21. Juli 2023

Von Dave Mitchell, 19. Juli 2023

Von Dave Mitchell, 17. Juli 2023