什麼是 Flipper 零以及為什麼亞馬遜禁止它?
Flipper Zero Flipper Zero 是一款一體式「黑客」設備。 您可以讀取、寫入和模擬 NFC 和 RFID,發送 BadUSB 腳本等。 它的信用卡讀取功能使其在亞馬遜遇到麻煩。
如果您將 Tamagotchi 寵物玩具的經典可愛概念與科幻黑客設備的功能相結合,會怎樣? 您知道這種類型,舉起它,它只是進行黑客攻擊,而忽略了所有現實。 好吧,你幾乎會得到 Flipper Zero,這是亞馬遜禁止其商店銷售的非常真實的產品。
據亞馬遜稱,該公司禁止 Flipper Zero,這是一款 169 美元的自稱為「玩具般的身體的滲透測試者和極客的攜帶型多功能工具」,因為它違反了針對卡片撇取設備的規則。 據稱,從理論上講,有人可以使用 Flipper Zero 竊取信用卡信息並耗盡您的銀行賬戶。 乍一看,Flipper Zero 不像傳統的卡片分離器。 它真的很像一個數字寵物設備,而且在很多方面,它就是一個。 但值得看看 Flipper Zero 的總體能力以及它們有多麼獨特(或不獨特)以充分了解情況。
什麼是腳蹼零
腳蹼零
從本質上講,Flipper Zero 只不過是一個數字寵物玩具和一個集成在一個盤點中的數字多功能工具。 什麼是數字多功能工具? 想想經典的多功能工具,它可以作為您構建所有東西的一站式商店。 拉出合適的配件,您就可以進行切割、剪刀、擰螺絲等操作。
同樣,Flipper Zero 包含大量天線和數字工具,可以讓它完成多項任務(稍後會詳細介紹)。 所有這些硬體都被點評在一個可愛的小盒子里,上面有一個簡單的屏幕。 打開它,迎接您的是海豚寵物,您可以與之玩耍、成長和養育。 只不過,海豚不是玩船上遊戲,也不是像電子寵物一樣給它喂數字食物,而是想讓你黑掉這個世界。 當您使用其硬體與現實世界的信號進行交互以產生不同的效果時,Dolphin 將會成長和進化。
該設備背後的公司並沒有保留「與世界互動」的含義。 查看其網站上對該設備的描述:
Flipper Zero 是一款攜帶型多功能工具,適合滲透測試者和極客使用,外形類似玩具。 它喜歡破解數字內容,例如無線電協議、訪問控制系統、硬體等等。
那麼你能用 Flipper Zero 破解什麼? 嗯,很多東西。
腳蹼零可以做什麼?
查看 Flipper Zero 的規格:
- 操作系統:FreeRTOS
- 中央處理器:意法半導體STM32WB55
- 內存:256 KB RAM,1024 KB 快閃記憶體
- 可移動存儲:Micro SD(最大 256 GB)
- 顯示器:單色 LCD 1.4 英寸,128 × 64 像素
- 連接性:NFC、125 khz RFID、Sub-1 GHz 無線電、紅外埠、藍牙 LE
- 埠:GPIO 引腳、USB 2.0、1-Wire
- 尺寸:100 x 40 x 25 毫米
- 質量:104克
這是與世界上相當多的數字信號交互的所有必要硬體。
攔截遠程信號
播放視頻
使用低於 1 GHz 的無線電,Flipper Zero 可以攔截和模擬車輛遙控器發出的解鎖和鎖定汽車的信號。 但這在某種程度上是有限的,因為大多數現代汽車都使用「滾動加密貨幣」方案。 Flipper Zero 可能會記錄您的遙控器剛剛發送的代碼,但它不會有用,因為該代碼是一次性事件。 然而,舊車沒有同樣的保護,理論上,可以使用 Flipper Zero 來解鎖這樣的車輛。
播放視頻
同樣的無線電也可以攔截其他無線信號,例如用於交通障礙或物聯網感測器的信號。 這就是理論上在加油站更改標誌、在 Walgreens 或類似商店發布公告以及開鎖所需的一切。 使這成為可能的收音機實際上可以直接在亞馬遜上購買,理論上您可以用更少的錢創建自己的硬體,但具有相同的功能。
讀取和克隆 RFID 卡和數據
播放視頻
由於其 RFID 無線電,Flipper Zero 可以讀取、保存、模擬和暴力破解 RFID 卡。 您可能不認為自己擁有其中之一,但很可能您至少使用過其中之一。 如果您住過的酒店允許您刷卡開門,那麼您很可能使用過 RFID 卡。 這些通常沒有加密貨幣,所以理論上,Flipper Zero 可以克隆酒店鑰匙,然後打開房間。 如果相關人員足夠接近您的密鑰。
同樣,護照也使用 RFID。 但是,這些是使用根據您護照的到期日期和您的出生日期生成的密鑰加密的。 因此,如果有人偷了您的護照,他們可能會破解加密貨幣。 但是,如果他們有您的護照,您的問題會更糟。
從理論上講,Flipper Zero 也可以暴力破解 RFID 鎖,但這可能很困難。 大多數 RFID 鎖都有適當的保護措施來防止這種情況的發生。 另一方面,同樣的晶元還允許 Flipper Zero 讀取寵物微晶元,如果晶元未加密貨幣,您至少可以找到有關丟失寵物的一些信息,而無需將其帶到獸醫處。
同樣,所有這些功能都是通過易於獲得的無線電實現的,理論上您可以自己構建一個可以實現相同功能的設備。
讀寫和模擬 NFC
播放視頻
由於 NFC 是從 RFID 中誕生的,因此 Flipper Zero 也可以讀取、寫入和模擬 NFC 也就不足為奇了。 就像 RFID 一樣,Flipper Zero 能做多少取決於加密貨幣。 大多數現代 NFC 晶元都使用加密貨幣,這也限制了 Flipper Zero 可以完成的工作。
但如果有問題的 NFC 晶元,無論是貼紙、卡片還是設備,都是沒有加密的舊版本,那麼 Flipper Zero 可以從中讀取、寫入(如果它接受),並模擬 NFC 晶元. NFC 也用於解鎖一些門,但大多數現代 NFC 鎖同樣使用加密貨幣來阻止 Flipper Zero。
最大的例外是點擊支付信用卡。 Tap-to-pay 信用卡依賴於 NFC,並且由於它們的工作方式而未加密貨幣。 靠近 Flipper Zero,它可以提取有關您的卡的大量信息。 但點擊支付信用卡通常不會公布您的 CVV、郵政編碼或持卡人姓名。 為了獲得這一切,「黑客」需要竊取您的信用卡。 在這一點上,你遇到的問題比 Flipper Zero 所能造成的還要嚴重。
我們不會深入探討,但 Flipper Zero 還擁有讀取、寫入和模擬 iButton 鍵所需的所有硬體。 這些是有時在公寓和辦公室中發現的舊鎖系統。 您可以將 iButton 鑰匙的兩個接觸點輕觸到鎖上的接觸點。 通過訪問 iButton 鑰匙,您可以複製數據並在沒有實際鑰匙的情況下解鎖門。 同樣,您可以購買所有必要的零件來完成這個技巧,而無需 Flipper Zero。
BadUSB 插件
如果您擁有 Windows 計算機或 macOS 設備,那麼您對 USB 就再熟悉不過了。 您可能沒有意識到這些設備存在漏洞,稱為 BadUSB。 簡而言之,有人可能會把快閃記憶體驅動器留在身邊,希望您能撿起它,然後當您將它插入筆記本電腦時心想,「好棒的新驅動器」,它可以載入宏和腳本來對您的計算機執行可怕的操作。 黑客可以通過直接訪問您的計算機來做任何事情,他們也可以使用 BadUSB 設備來做。
再一次,我希望你現在已經注意到了這個模式,你可以輕鬆地創建一個 BadUSB 設備,即使付出一些努力,使用你可以在亞馬遜上找到的部件。 一個精心打造的設備不會比快閃記憶體驅動器大很多,所以你可以把它藏在電腦塔的背面而不被人注意。 不過,Flipper Zero 確實有一個優勢,那就是遠程功能。 如果您通過 USB 數據線將它連接到 Windows 或 Mac 設備,您就可以從其他地方的手機控制它。
用於擴展的 GPIO 引腳
如果您見過 Raspberry Pi,您可能熟悉 GPIO 引腳。 它們看起來像一系列金屬針腳,您可以使用它們連接額外的電路板設備。 Flipper Zero 還具有 GPIO 引腳,您可以使用它為其提供額外的功能,例如 Wi-Fi 模塊、相機、開發板等。
Flipper Zero 已經銷售了幾種選擇,其他第三方開發了更多的板。 潛在的危險就在這裡。 從理論上講,您可以添加一塊板,為 Flipper Zero 提供 2.4 GHz RF 功能,然後可以攔截一些無線鍵盤和滑鼠信號並模擬它們。 同樣,較新的無線設備加強了安全性以防止這種情況發生,但許多較舊的無線鍵盤和滑鼠仍在家中。
為什麼亞馬遜禁止 Flipper 零
Flipper Zero 最初是一款非常成功的 Kickstarter 產品,在其商店網站上銷售之前,它實際上兌現了所有承諾(極為罕見的事件)。 不過,最終,它進入了亞馬遜。
但最近幾天,亞馬遜禁止了 Flipper Zero,現在對該設備的任何搜索都只能搜索到外殼、附加板等配件。為什麼亞馬遜要禁止 Flipper Zero? 因為該公司將該設備視為「信用卡竊取器」。
亞馬遜有針對信用卡竊取者的具體政策,顯然,從點擊支付卡中讀取任何數據的能力足以觸發這些規則。 據 Bleeping Computer 報道,亞馬遜向第三方賣家發送了帶有該解釋的通知,並指出:
該產品已被識別為盜卡設備。 亞馬遜政策禁止銷售或發布盜卡設備。 ……我們採取此行動是因為該產品不允許在 Amazon.com 上銷售。 您有義務確保您提供的商品符合所有適用的法律、法規和亞馬遜的政策。
再說一次,雖然 Flipper Zero 可以從點擊支付卡中提取數量驚人的信息,但它不是任何其他像這樣的 RFID/NFC 閱讀器可以提取的信息。 而且您仍然需要手頭的實際卡才能進行任何購買。 如果點擊支付卡的工作方式與 iPhone 和 Android 手機類似,則可以避免這種擔憂。 這些設備通過一次性使用數據無線傳輸。 就算被截獲,也是起不到任何作用的無用數據。
但它是亞馬遜商店,它可以制定規則。
腳蹼零是壞設備嗎?
如果您想知道 Flipper Zero 是否是不應在市場上銷售的「黑客設備」,那麼答案充其量是複雜的。 從技術上講,Flipper Zero 所做的一切都不違法。 這就是您對跨越合法到非法門檻的那些能力所做的事情。 開門不違法。 未經允許擅自打開別人的門是違法的。 無論您使用的是數字設備、開鎖器,還是開鎖的鑰匙,情況都是如此。
Flipper Zero 的幾乎所有功能都可以這樣說。 事實上,Flipper Zero 無能為力。 我希望您注意到上面的模式,在每種情況下,Flipper Zero 使用的硬體都很容易獲得且易於購買。 您可以構建您自己的自定義「Flipper Zero」,您所缺少的只是網路海豚,它會因為您不經常黑客攻擊而生氣。
不過,這裡的區別在於進入壁壘。 過去,購買可以攔截汽車鑰匙扣信號或模擬酒店鑰匙卡的設備部件、構建和編程自己的設備更加困難。 即使你能買到一台能做到這一切的設備,也是通過一個陰暗的灰色市場。
Flipper Zero 顯著降低了進入門檻。 它的價格不到 200 美元,可以進行修改以實現更多功能,並且有一個社區準備好並願意教您如何充分利用它。 您甚至可以在沒有任何實際編碼知識的情況下從 GitHub 安裝定製的腳本。 找到一個可以滿足您的需求的軟體,下載並安裝。
從理論上講,Flipper Zero 是一種工具,用戶是邪惡的。 實際上,Flipper Zero 的易用性有助於實施惡意行為。 您可以爭辯說責任在於工具用戶,或者某些工具不應該那麼容易獲得。 無論哪種情況,Flipper Zero 都很好地揭示了我們日常生活中的常見漏洞。 如果這些漏洞沒有得到修補,那麼無論哪種方式,爭論都不會很重要。