Amazon.com verbiedt verkoop Flipper Zero-multitool in webshop

Amazon heeft de verkoop van de Flipper Zero in zijn Amerikaanse webshop aan banden gelegd. Volgens het bedrijf wordt de tool gebruikt om bankkaarten te klonen en dat is verboden. In de Belgische en Nederlandse webshop van Amazon is de tool voorlopig wel nog te verkrijgen.

Techwebsite BleepingComputer kon een e-mail van Amazon.com inkijken waarin het bedrijf verkopers van de Flipper Zero informeert over de maatregel. "Dit product wordt beschouwd als een apparaat waarmee bankkaarten kunnen worden gekloond", klinkt het. "Ons beleid verbiedt de verkoop of affichering van dergelijke producten." Pavel Zhovner, de ceo van het bedrijf dat de tool fabriceert, heeft aan de redactie van BleepingComputer gezegd dat de Flipper Zero geen bankkaarten kan klonen en zou aan Amazon hebben gevraagd om het verbod op te heffen.

Flipper Zero is een multitool voor pentesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen en kan voor onderzoeken of tests van apparaten worden gebruikt. Het apparaat kan onder meer RFID en infraroodsignalen lezen, schrijven en emuleren. De tool bevat ook GPIO-pinnen om elektronische apparaten aan te sturen, een USB-C-poort waarmee het apparaat zich kan voordoen als een Human Interface-apparaat bij een computer en de Flipper Zero kan ook als U2F-sleutel gebruikt worden. Sinds juli 2022 bestaat er een topic op het Tweakers Forum over de Flipper Zero.

Reacties (131)

TechSupreme 9 april 2023 11:23

Er is veel ophef over deze tool, vooral door de vele FAKE videos op social media. Het kan niet meer of minder als andere simpele tools, maar alles is gecombineerd en ondergebracht in een simpele UI. Het kan geen auto's openen en het kan geen kaarten clonen. Systemen die alleen de kaart ID gebruiken kan het wel hacken, maar dat is geen beveiliging.

Zo is er ophef over het Unifi Access systeem van Ubiquiti. Ubiquiti verkoopt zijn eigen NFC kaarten met een software applicatie erop die goed beveiligd is, daarnaast kan je ook 3th party NFC druppels of kaarten gebruiken, maar dan maakt het systeem alleen gebruik van de kaart ID, dus is het niet beveiligd. Sommige zeggen waarom bouwt Ubiquiti zoiets in, het is absoluut niet veilig en andere zeggen dat de kaarten van Ubiquiti zelf te duur zijn en het lekker handig is als je je eigen kaarten kan gebruiken. Ubiquiti heeft geen druppels alleen kaarten dus dat is ook weer zoiets.

Het is trouwens niet de eerste. De eerste dergelijk tool kwam van Mattel (het speelgoed bedrijf). Het werd natuurlijk niet zo verkocht, maar de chip en de bouw van het apparaat was uitermate geschikt om om te bouwen naar een pentest tool.
http://samy.pl/opensesame/

Brazilie heeft de import ook aan banden gelegd. Zendingen met een Flipper Zero erin worden in beslaggenomen, maar staat de import van andere veel uitgebreidere en complexere tools wel toe.

Met de standaard firmware is het eigenlijk niks anders als een pentest tool die misbruikt kan worden om te irriteren, zie het als belletje lellen, meer niet. Zo was ik een tijdje geleden bezig met een RF project en kwam om de zoveel tijd steeds een zender tegen die een 4bit code stuurde en steeds dezelfde code. Dan vond ik vreemd en wilde wel eens weten wat dat was, dus uiteindelijk ging ik constant die code uitzenden in de hoop dat ik kon traceren wat het was. Wat bleek, de deurbel van de buren. Irritant voor de buren dat ik zoiets doe.

De unleashed firmware kan iets meer, maar ook die kan niet zomaar de beter beveiligde apparaten of protocollen hacken. De protocollen die in de unleashed firmware zitten is al langer van bekend dat ze niet veilig zijn. Sommige fabrikanten zijn al afgestapt van die protocollen en andere worden nog steeds volop gebruikt. Natuurlijk aan de fabrikant om daar iets aan te doen.

Persoonlijk vind ik het goed dat dit soort tools bestaan en laat kleine kinderen ze maar misbruiken, dan worden mensen misschien bewust van het feit dat sommige apparaten belachelijk beveiligd zijn. Zo heb je nog steeds garagedeuropeners of NFC readers die niet beveiligd zijn. Misschien dat je daar in de jaren 80 mee weg kon komen, maar tegenwoordig niet meer.

Diut soort tools verbannen is vechten tegen de bierkaai. Het gaat je toch niet lukken! Als het niet een Flipper Zero is, dan is het wel speelgoed van Mattel of gaan mensen lekker zelf iets bouwen. Dat ik met een simpele 433MHz zender de deurbel van de buren af kan laten gaan is irritant voor ze, maar misschien geeft wel voer voor gedachten. De protocollen die het kan hacken is allang en breed van bekend dat het niet veilig is, in sommige gevallen zelfs decennia, maar ze worden nog steeds gebruikt. Tijd dat mensen er bewust van worden en dat fabrikanten gaan nadenken over betere beveiliging.

[Reactie gewijzigd door TechSupreme op 22 juli 2024 19:31]

xoniq @TechSupreme • 9 april 2023 15:24

Ik heb zelf een multi-radio ding gebouwd in de meterkast met 2.4 GHz, 433 MHz, enz, en dat is gekoppeld aan home assistant voor simpele temperatuur sensoren uit de buurt op te vangen. (Hoef ik t zelf niet te kopen)

Echter, ik kreeg dus ook de schakelaars binnen van mensen met simpele 433 MHz stopcontacten van de action (gebruik ze zelf ook in de garage puur om apparatuur fysiek af te sluiten van stroom om 00:00 voor de nacht, dus niks ernstigs), maar ik heb me een keer niet weerhouden om met de hond te lopen, laat, en dan een paar schakelaars uitproberen die ik heb ontvangen (deurbellen daargelaten), en ja hoor, heel wat lampen en een tv in de buurt aangezet ermee.

Als je dan de deurbellen ook doet; deurtje bellen 2.0 vanuit huis

Grrrrrene

@xoniq • 9 april 2023 15:53

Ja, voor ons vooral grappig, maar de meeste mensen hebben geen idee dat dat zo werkt. Vroeger was het ook grappig om met een afstandsbediening door de wijk te lopen en willekeurig te profiteren televisies uit te schakelen. Het was toen nieuw en het kon niet echt kwaad, nu probeert niemand dat meer volgens mij.

Ik vind het verbieden ook kansloos. De mensen waar je wel bang voor zou moeten zijn, bouwen zelf wel wat.

onecht

@Grrrrrene • 10 april 2023 08:59

Ik kan mij nog een mooi horloge herinneren waarmee je door de buurt ging om tv's uit te zetten.

YouriHL @onecht • 10 april 2023 10:14

Jaaaaaa, die heb ik om gehad haha. Geniale lol in de periode eind 80, begin 90.

Jerie

@Grrrrrene • 9 april 2023 16:23

Dat TV-be-gone kan de Flipper Zero ook (qua hardware). Tegenwoordig niet meer spannens.

Atomsk @Grrrrrene • 9 april 2023 19:03

Bij wat oudere tv's met Bluetooth ondersteuning kon je soms zonder enige beveiliging afbeeldingen er naartoe sturen vanaf je phone.

Madshark

@xoniq • 9 april 2023 17:05

en een tv in de buurt aangezet ermee.

Anno 2023 kun je nog steeds Philips TV's met een Philips TV afstandsbediening uit de jaren 80 vanuit de stoep/straat aanzetten en bedienen.l, zolang de TV maar zichtbaar is vanuit straatkant.
Vroeger (eh 35 jaar geleden ofzo), haalden we hier al kattenkwaad mee uit.
0 beveiliging, maar ook 0 ophef 😉

[Reactie gewijzigd door Madshark op 22 juli 2024 19:31]

kaas-schaaf @xoniq • 10 april 2023 01:26

Met mijn best capabele antenne icm zender kan ik de lichten in de kerk aan de overkant aan en uitzetten. Beveliging van die apparaten is waardeloos. (Afstand is ~50m)

Als ik de scanner aanzet krijg ik na enkele (tientallen) minuten zo'n 100 schakelaars en temperatuurmeters binnen, maar goed het is hier ook dicht bevolkt. Ik heb in het verleden wel eens een tug-of-war gespeeld met iemand die de id's gecloned had of verkeerd ingesteld (ze waren echt niet de defaults).

Tegenwoordig alles op zigbee met eigen sleutels. Scheelt gedoe.

Wunk @kaas-schaaf • 10 april 2023 15:34

Ik heb op m'n home assistant ook een 433mhz receiver voor wat domotica spul en somfy gordijnen. De hoeveelheid deurbellen, lampen en rookmelders die op dit onbeveiligde protocol langskomen in de woonwijk is angstvallig veel.

Er word nog steeds veel onbeveiligd spul verkocht (ik kijk naar jou klikaanklikuit)

TNG128MB @xoniq • 9 april 2023 18:27

waar is de tijd garagepoorten openen door even op de cb te klikken in de camion

NonTweaker @TechSupreme • 9 april 2023 20:09

Ter aanvulling, LTT heeft er net een video over gepost op YT:

"This Makes Hacking TOO Easy - Flipper Zero "
https://youtu.be/nLIp4wd0oXs

TechSupreme @NonTweaker • 9 april 2023 20:38

Had hem al gezien, wel een zware meme titel om clicks aan te trekken.

Om alles samen te vatten:

Once again, the Flipper Zero isn't doing anything game changing other then alerting us to the availability of these tools

the Flipper Zero is only useful if there's very old encryption or none at all

so could a Pi, an Arduino or an Android phone

En Linus geeft ook nog eens voorbeelden wanneer een Flipper Zero (of dergelijke tools) nuttig kunnen zijn. Als je een huisdier hebt gevonden en zijn chip uit wil lezen, om Amiibo's te emuleren of om Doom te spelen

. Zo zijn er waarschijnlijk nog duizenden voorbeelden.

/edit:

Ze hadden een tijdje geleden tijdens de WAN show al het een en andere gezegd:
https://www.youtube.com/watch?v=J0Hy_cEg2oo

De persoon die de vraag stelt noemt het een: "pentest LEARNING tool".

Zoals zij al zeggen, dergelijke tools bestaan als sinds het begin van de mensheid. Daarom hebben we in het strafrecht ook het begrip "mens rea" (schuldig geweten of criminele intentie). Zoalng je niet de intentie hebt om dit stukje gereedschap voor criminele doeleinden te gebruiken is het ook niks anders als dat, een stukje gereedschap.

[Reactie gewijzigd door TechSupreme op 22 juli 2024 19:31]

kodak @TechSupreme • 9 april 2023 13:58

Laat het nieuws niet zien dat het juist ook voor verkopers op gaat om bewust na te gaan denken over beveiliging?

Er lijkt geen onderbouwing van Amazon te zijn voor hun bewering over onveilig zijn. Maar dat is wel waarop klanten keuze hebben (of dus gebrek daar aan).

Als een verkopers geen interesse heeft in onderbouwing of iets wel of niet veilig is, dan zitten klanten opgescheept met aanbod wat niet zomaar veiliger is, eerder onveiliger. Zelfs al maakt een fabrikant of een product wat op zich voldoet.

Het gaat dus niet alleen om (on)veilig fabriceren, maar juist ook om (on)veilig informeren en (on)veilige keuzes tot accepteren/afwijzen. Want zelfs al maken fabrikanten veilige producten, dan lijkt het dus om andere belangen te gaan bij de verkopers waar de consumenten van afhankelijk zijn.

Vorkie 9 april 2023 10:52

Niet zo heel gek, als je ziet wat voor ongein er op sociale media mee uitgehaald wordt, zoals het openen van Tesla laad poorten, televisies besturen en uitzetten met bijvoorbeeld vluchtgegevens.

De tool is geweldig, maar dit soort dingen moeten in de niche kant blijven met geautoriseerde koop en verkopers.

Robbierut4 @Vorkie • 9 april 2023 10:57

De tool is geweldig, maar dit soort dingen moeten in de niche kant blijven met geautoriseerde koop en verkopers.

Juist niet. Door het publiek beschikbaar te maken zul je zien dat bedrijven wel moeten reageren en hun beveiliging verbeteren.
Anders hou je slechte beveiliging en zet je de deur wagenwijd open voor mensen die echt kwaad willen doen.

Frame164 @Robbierut4 • 9 april 2023 11:04

Ik vind het altijd wel grappig als er wordt geschreven over dat "bedrijven wel iets moeten gaan doen". En dat terwijl er bij bedrijven gewoon mensen zoals jij en ik werken. Dus wat die jij om zaken veiliger te maken? Heb je daar de druk van dit soort tools voor nodig of doe jij dat wel proactief?

Gropah @Frame164 • 9 april 2023 11:14

Genoeg techneuten willen hier wel proactief op reageren. Wat ik echter zie en hoor bij veel bedrijven, is dat management er pas iets aan wil doen zodra het echt een probleem is. "Je moet niet doemdenken", "dat lossen we wel op als het echt een probleem word", etc, etc.

Criminelen die echt kwaad in de zin hebben, komen echt wel aan dit soort tools. Verboden, of niet. Als niet via amazon, dan wel via ali of een ander kanaal.

Lockpicks zijn ook niet verboden (ook niet op amazon trouwens). Er zijn populaire youtube kanalen over hoe ze te gebruiken, en de lockpickinglawyer (LPL) heeft er zelfs een webshop in.

Juist omdat die tools zo breed verkrijgbaar zijn, en mensen het picken interessant vinden, moeten fabrikanten aan de slag om sloten weerbaarder te maken. Dat doen ze alsnog vaak genoeg niet, maar door kanalen zoals LPL maken ze daar slechte reclame mee. Datzelfde geld ook met dit soort middelen.

conclusie: het is een samenloop van omstandigheden. Management wil niet dingen doen die onnodig zijn, en het word pas nodig als het een wijdverspreid probleem word. Het kan een wijdverspreid probleem worden door beschikbaarheid van tools.

[Reactie gewijzigd door Gropah op 22 juli 2024 19:31]

Frogmen

@Gropah • 9 april 2023 13:18

Grappig dat LPL noemt want is eigenlijk nog geen sloten tegengekomen die hij niet kon openen. Ergo met voldoende kennis krijg je iedere beveiliging open. En geld dat ook niet voor elektronische beveiliging?

Gropah @Frogmen • 9 april 2023 13:48

Hij geeft echter wel aan dat sommige sloten hem duidelijk veel meer moeite kosten, dat sommigen eigenlijk niet te kraken zijn zonder ervaring en dat sommige erg makkelijk te kraken zijn. Daarbij geeft ie ook aan dat als iemand echt binnen wilt komen, dat altijd wel gaat lukken. Je wil voornamelijk de gelegenheidsdieven buiten houden

HakanX @Gropah • 9 april 2023 15:13

Als je lang bezig blijft bij een voordeur ergens op straat is de kans ook steeds groter dat iemand langskomt en je betrapt wordt. Dat js het idee met een slot, lang genoeg bezighouden en minder interessant zijn.

@Frogmen Het grote verschil met digitale beveiliging is dat je die vaak wel ongezien vanuit een afstand op je gemakje kan doen. Dus het aspect van lang genoeg bezighouden valt weg.

Mathijs Kok @HakanX • 9 april 2023 18:37

Als je lang bezig blijft bij een voordeur ergens op straat is de kans ook steeds groter dat iemand langskomt en je betrapt wordt. Dat js het idee met een slot, lang genoeg bezighouden en minder interessant zijn.

Maar dat heeft bitter weinig met de pick-resistance (sorry weet geen Nederlandse terminologie) maar met de bouwkwaliteit. Inbrekers doen niet aan lockpicking, die doen aan breekijzers.

Toen een paar jaar geleden mijn garage opngebroken werd vroeg ik dat eens aan de agent die kwam kijken. Hij had duizenden inbraken gezien maar slechts een handvol zaken waarbij hij dacht dat er enige inteligentie aan te pas kwam. Alleen hotelkluisjes, die gaan altijd open als je blaast.

LPL is amusement en een kunstje. Heeft niet veel met veiligheid te maken.

YangWenli @Mathijs Kok • 10 april 2023 11:53

Oh ja iedere inbraak die ik gezien heb had niks met sloten te maken.
Een inbreker is geen spion- ze breken gewoon de deur of raam open met geweld.

BarôZZa @Gropah • 9 april 2023 11:36

Het is nog simpeler: het levert geen geld op, dus is de prioriteit voor management zal altijd lager zijn dan van zaken die wel geld opleveren. Tenzij het misgaat, dan is de prio wel hoog.

Bor Coördinator Frontpage Admins / FP Powermod @BarôZZa • 9 april 2023 13:29

Het is nog simpeler: het levert geen geld op, dus is de prioriteit voor management zal altijd lager zijn dan van zaken die wel geld opleveren.

Zo simpel is het wat mij betreft niet. Goede security maatregelen leveren wel degelijk geld op zij het indirect. Ze kunnen je behoeden voor onverwachte schade (en dus verlies van waarde) maar mogelijk ook voor boetes etc.

Robbierut4 @Bor • 9 april 2023 13:44

Zo simpel is het wat mij betreft niet. Goede security maatregelen leveren wel degelijk geld op zij het indirect. Ze kunnen je behoeden voor onverwachte schade (en dus verlies van waarde) maar mogelijk ook voor boetes etc.

Maak jij dat de manager wijs?

Bor Coördinator Frontpage Admins / FP Powermod @Robbierut4 • 9 april 2023 15:08

Maak jij dat de manager wijs?

Dat is onderdeel van je taken als security professional. Awareness is key, dat geldt ook voor het management.

Barsonax @Bor • 9 april 2023 17:08

En hoeveel euro levert dat dan op? Kan je dat concreet maken ipv een vaag verhaal met allemaal technische termen? Niemand hacked ons spul dus waarom zouden we er moeite voor moeten doen.

Heel cru dus maar als management het niet wil sta je daar wel als techneut.

Bor Coördinator Frontpage Admins / FP Powermod @Gropah • 9 april 2023 12:11

Wat ik echter zie en hoor bij veel bedrijven, is dat management er pas iets aan wil doen zodra het echt een probleem is. "Je moet niet doemdenken", "dat lossen we wel op als het echt een probleem word", etc, etc.

Als dat de instelling heb je wel een groter probleem dan alleen technische kwetsbaarheden. De basis begint bij awareness en de drive om problemen op te lossen. Zo lang je dat niet veranderd loopt je altijd achter de feiten aan en zal men pas maatregelen treffen wanneer het feit al opgetreden is.

Tarquin @Frame164 • 9 april 2023 12:06

Je kunt niet alles voorzien.
En boekhouders zijn er niet dol op om een update te ontwikkelen voor een apparaat dat al verkocht is.
Dus ja graag, een beetje druk is prima.

Bor Coördinator Frontpage Admins / FP Powermod @Tarquin • 9 april 2023 12:12

En boekhouders zijn er niet dol op om een update te ontwikkelen voor een apparaat dat al verkocht is.

Dat heeft toch niets met boekhouders te maken? Onderhoud, ook security onderhoud hoort bij alles wat je koopt, zowel hard- als software.

Tarquin @Bor • 9 april 2023 15:35

In principe wil je geen geld uitgeven aan een product dat al verkocht is.

Mathijs Kok @Tarquin • 9 april 2023 18:41

In principe heb je dat geld al apart staan en is het deel van de verkoopsprijs.

Er zijn steeds meer firma's die support en updates als marketing kosten zien. Mijn ervaringen met Europese firma's in dit soort zaken is steeds beter aan het worden.

Tarquin @Mathijs Kok • 9 april 2023 20:39

Dit wordt een welles-nietes.

Als je 1000 euro hebt.
En je kunt die besteden aan R&D of een nieuw product, dan levert die 1000 euro jou geld op.
Besteed je het aan een product dat al verkocht is, dan is het geld al binnen en levert het geen geld op.

Ik snap wat je bedoelt, als je een secu-update geeft straalt dat niet slecht op je af.
Maar je kunt het hoogst noodzakelijke doen, of helemaal tot het gaatje gaan en zelfs features voor nieuwe producten nog achteraf als gratis update meegeven.
Maar levert die 1000 euro voor je reputatie ook weer 1000 euro aan echte verkoop op? Of had je die verkoop toch wel gehad? Dat wordt echt lastig te herleiden.
Dus als je niet echt keihard gedwongen wordt, levert die 1000 euro je méér op als je die in nieuwe producten stopt.
Je kunt heel lang welles-nietes doen, maar je rent achter een tram aan waar je al in zit. Reputatie-voor-nazorg betaalt geen rekeningen.

Alleen verkoop brengt geld binnen.

Als je reputatie niet tot extra verkoop leidt dan verlies je geld. Als je je verkochte producten langer laat werken verkoop je minder nieuwe. Superleuk voor de consument. Maar waar komt jouw geld vandaan om de rekeningen te betalen?

Niet alles wat leuk is voor één partij is leuk voor alle partijen.

[Reactie gewijzigd door Tarquin op 22 juli 2024 19:31]

echtwaar? @Tarquin • 11 april 2023 05:43

Of je vraagt gewoon geld voor de updates, bij wat duurdere producten is een update door vrijwel complete vervanging vaak zelfs een prima optie. Ik heb liever dat ze mij bellen omdat een encryptie gehackt is en elke kwaadwillenende straks met een kaartje van aliexpress mijn woning in kan. Wanneer buiten de schuld en of invloed sfeer producent zou het nieuwe even dure product kopen een prima oplossing zijn. Dat doen we eigenlijk altijd bij technische limieten en/of financiël niet haalbare oplossingen.

kozue @Tarquin • 12 april 2023 09:34

Ik weet niet hoe jij je geld uitgeeft, maar ik koop niet de opvolger van een product waar ik niet tevreden over ben. Als ik slechte ervaring heb met zo’n ding, kijk ik volgende keer bij de concurrentie. En als iemand mij vraagt “Hey, jij hebt toch een X? Was dat een goede keuze?” kan ik zo’n ding alleen maar afraden, en verliezen ze ook verkoop van mensen in mijn directe omgeving. En dan heb ik het nog niet gehad over slechte reputatie die zich via internet verspreid (reviews, social media, etc).

Het is inderdaad een welles-nietes, maar ik weet zeker dat het niet tevreden houden van bestaande klanten een permanent verlies in verkoop betekent. Een slechte reputatie kom je ook maar moeilijk vanaf. Er zijn bepaalde merken waar ik bijvoorbeeld nu al niks meer van koop, al is het alleen al op basis van dingen die ik ergens gelezen heb, of eigen ervaring in het verleden.

TechSupreme @Tarquin • 10 april 2023 00:22

Je kunt niet alles voorzien.
En boekhouders zijn er niet dol op om een update te ontwikkelen voor een apparaat dat al verkocht is.
Dus ja graag, een beetje druk is prima.

Als het de reputatie van je bedrijf schaadt, dan wordt het ineens wel interessant om er hard aan te werken. Daarom is het aan ons om met onze centen aan te geven wat we wel of niet willen en daarom is het ook goed dat dit soort tools bestaan want ze dragen bij aan het bewustzijn.

Elzooi

@Frame164 • 9 april 2023 11:09

Managers hebben soms de druk nodig dat iets mis gaat voor ze het belang ergens van inzien. Alles wat geld kost een niet direct iets lijkt op het leveren heeft meestal lange prioriteit. Betekend niet dat ik vind dat iedereen nu maar met dit soort tools aan de gang moet. Maar ik denk dat het wel effect heeft als het zou gebeuren.

jmvdkolk @Elzooi • 9 april 2023 15:33

Was het maar zo makkelijk. Ik ben product manager bij een software bedrijf. Eén van de development teams waarvoor ik prioriteiten bepaal implementeert zo'n 10 wijzigingen in een sprint. Ze vinden ook zelf zo'n 18 gewenste verbeteringen per sprint. Gewenste verbeteringen varieren van gewenste refactors t/m security issues. Dit zijn verbeteringen die los staan van de 10 wijzigingen die in de sprint worden opgeleverd. Ik zou graag minder opleveren met meer kwaliteit. Zodat de balans tussen het aantal gewenste verbeteringen en de output er is. Alle security issues krijgen intussen top prioriteit, wat regelmatig betekent dat er geen of minder ruimte is voor wijzigingen die belangrijk zijn voor onze sales en retentie. Lange termijn is de situatie zoals die nu is onhoudbaar, zelfs relatief korte termijn al. Ik snap bedrijven wel die in zo'n situatie, die niet uniek is, kiezen voor sales en retentie omdat er anders geen business meer is.

Edit: voor de goede orde, de 18 gewenste verbeteringen komen vanuit het development team. Daarnaast zijn er ook nog nieuwe workitems op basis van support cases en is er strategische input vanuit product management.

[Reactie gewijzigd door jmvdkolk op 22 juli 2024 19:31]

Cid Highwind @Frame164 • 9 april 2023 11:14

Zie het positief: Als jouw bedrijf er op wordt aangesproken, kan het beteken dat er meer competente mensen in de IT worden aangenomen, of dat je meer tijd en budget ter beschikking gesteld krijgt om je werk af te maken, in plaats van nadat de gewenste features zijn opgeleverd er meteen aan het volgende mag worden begonnen.

SuperDre @Cid Highwind • 9 april 2023 19:45

En wat doe je als er gewoonweg geen oplossing voor is zonder dat je het product onbruikbaar maakt?

yoknecofyo @SuperDre • 10 april 2023 18:57

Heroverwegen of je product wel echt zo’n goed idee is.

SuperDre @yoknecofyo • 11 april 2023 00:17

Tja, ondanks de nadelen kan het product toch een goed idee zijn, alleen jammer dat randdebielen/criminelen het dan verpesten.

Sissors @Robbierut4 • 9 april 2023 11:31

Ik snap je punt, soms denk ik ook dat je gelijk hebt, aan de andere kant, zoveel dingen in de fysieke wereld zijn erop gebaseerd dat merendeel van de mensen geen eikels zijn, moet het in de elektronische wereld nou echt allemaal anders zijn? En sommige dingen moeten gewoon goed beveiligd zijn, tegelijk een bushokje kan je ook kapot maken met een baksteen, is het dan heel erg dat je de TVs voor informatie ergens niet allemaal digitaal beschermd zijn? Die met een IR zendertje van kanaal laten veranderen komt mij nogal jaren 90 over qua niveau.

litebyte @Vorkie • 9 april 2023 10:59

De tool is geweldig, maar dit soort dingen moeten in de niche kant blijven met geautoriseerde koop en verkopers.

Dan komt het op de zwarte markt, het enige wat het dan gaat doen is duurder worden. Als de vraag dan (vanwege hype) nog groter wordt, zullen er alleen maar meer op de markt komen, al dan niet van andere merken.

Net als Vorkie schrijft: dan kun je tal van 'tools' wel verbieden.
Overigens is Amazon nu de bepalende factor wat wel en niet verkocht mag worden?

Mathijs Kok @litebyte • 9 april 2023 18:43

Overigens is Amazon nu de bepalende factor wat wel en niet verkocht mag worden?

...is iets wat niemand zegt. Amazon zegt alleen dat het tegen hun eigen regels ingaat, dat mag en is iets wat we moeten aanmoedigen.

Dus ja, Amazon is de bepalende factor van wat op Amazon verkocht word.

litebyte @Mathijs Kok • 9 april 2023 23:23

Het is niet mogelijk om bankkaarten ermee te clonen.

YGDRASSIL

@litebyte • 9 april 2023 11:07

Natuurlijk is Amazon niet de bepalende factor. De wetgeving is dat en daar proberen ze aan te voldoen. En al waren ze wel de bepalende factor, je mag toch als bedrijf zelf wel bepalen wat je verkoopt of via jou kanalem verkocht wordt. Lijkt me heel normaal.

Sissors @litebyte • 9 april 2023 11:32

Of de vraag wordt niet hoger, omdat er geen hype komt, omdat er zo vaak dingen bij Amazon weg gaan. En het wordt wel wat moeilijker voor vandalen om irritant te doen. (Want als we het hebben over TVs met een IR zendertje van kanaal laten veranderen heb je het gewoon over redelijk zielig niveau).

yoknecofyo @Sissors • 11 april 2023 07:12

Totdat je je realiseert dat die TV eigenlijk gewoon een ongepatchte computer is met toegang tot het netwerk…

Aldy @litebyte • 9 april 2023 14:00

Naast Amazon zijn er nog andere aanbieders en hoef je echt niet de zwarte markt op. En Amazon bepaalt zelf wat ze willen verkopen en niet willen verkopen. Als je het product echt nodig hebt ga je naar een ander.

Amanoo @Vorkie • 9 april 2023 12:08

Televisies besturen? Dat is niet echt iets nieuws. In mijn kindertijd gingen we met de afstandsbediening op stap om bij mensen door het raam te mikken. En het duurde ook niet lang voordat horloges met universele afstandsbediening kwamen. Dat was natuurlijk al helemaal te gek.

xoniq @Amanoo • 9 april 2023 15:28

En zelfs dat kan bij de nieuwste televisies al niet meer. Meeste televisies werken met een AB met een eigen RF signaal (anders zou je al snel storen bij de buren), of BLE. Dus dat hele bedienen van IR wordt steeds minder.

Mathijs Kok @xoniq • 9 april 2023 18:49

En zelfs dat kan bij de nieuwste televisies al niet meer. Meeste televisies werken met een AB met een eigen RF signaal (anders zou je al snel storen bij de buren), of BLE. Dus dat hele bedienen van IR wordt steeds minder.

Ik denk dat er geen enkele TV in de winkel staat die geen IR ontvanger heeft. Geef eens een voorbeeld?

xoniq @Mathijs Kok • 9 april 2023 19:58

Mijn LG van 2022 doet geen IR meer. Heeft ook überhaupt geen ruimte voor een IR ontvanger in de bezels.

Amanoo @xoniq • 9 april 2023 16:02

Aha. Ik heb zelf nog een heel oud mormel die met een heel generieke afstandsbediening kan. De Android TV doos die erop zit gebruik inderdaad wel BLE. Maar ik heb nog een apparaat gebouwd dat de TV aan of uit zet via IR afhankelijk van de staat van de Android TV doos.

xoniq @Amanoo • 9 april 2023 17:15

Ah, moderne TV’s doen dat via HDMI ARC. TV of Apple TV aan, betekend soundbar en alles aan. Gaat 1 van de 2 op stand-by, gaat de rest ook uit.

En ja, geen infrarood meer. De vorige tv wel die nu boven hangt.

Aldy @Amanoo • 9 april 2023 18:20

Dat laatste heb ik gemist, maar ik had natuurlijk al een horloge.

Creesch @Vorkie • 9 april 2023 11:36

De tool is geweldig, maar dit soort dingen moeten in de niche kant blijven met geautoriseerde koop en verkopers.

Alles wat je met deze tool kan doen kan je ook met een Raspberry Pi/Arduino, losse modules en code die ook al vrij beschikbaar is.

xoniq @Creesch • 9 april 2023 15:26

Met een pi zero en zelf wat modules op een PCB solderen ben je er al bijna, maar mis je enkel nog het schermpje en knoppen voor mobiliteit. Maar als je een Arduino aan de laptop hangt, en een web tooltje erop, ja dan is t al klaar. Niks bijzonders

Mathijs Kok @xoniq • 9 april 2023 18:48

Okay dus jij vergelijkt losse onderdelen die je aan elkaar soldeert, waar je zelf software voor moet zoeken (valt nog lang niet mee) met een goedkoop dingetje dat uit de doos alles al kan.

Ik heb een Flipper. Ik heb geen laptop nodig, ook geen Arduino of een soldeerijzer.

xoniq @Mathijs Kok • 9 april 2023 20:00

Ik zeg niet dat het de tijd of moeite waar is (behalve dat je er veel van leert), maar als iemand iets specifieks wilt bereiken, is dat vrij eenvoudig te doen.

Advanced03 @Vorkie • 9 april 2023 11:12

Als je zo gaat denken kan je al genoeg gekkigheid uithalen zonder een flipper zero. Wil je die ook allemaal verbannen dan?

[Reactie gewijzigd door Advanced03 op 22 juli 2024 19:31]

Jim80 @Vorkie • 9 april 2023 11:29

Zo werk je security through obscurity in de hand, en dat is nóg slechter dan dat de tools gewoon verkrijgbaar zijn.

Bor Coördinator Frontpage Admins / FP Powermod @Vorkie • 9 april 2023 12:02

Heel veel van de filmpjes op social media zijn fake. Je ziet o.a. zaken gebeuren met een simpele replay aanval waarbij het "gehackte" device niet kwetsbaar is voor replay aanvallen. Natuurlijk zijn een deel ook echt maar zo simpel als men het in sommige filmpjes doet voorkomen is het vaak niet. Daarbij zijn sommige zaken ook gewoon strafbaar wanneer je geen uitdrukkelijke toestemming hebt van de eigenaar van het device / systeem etc.

r03n_d @Vorkie • 9 april 2023 12:19

Niet zo heel gek, als je ziet wat voor ongein er op sociale media mee uitgehaald wordt, zoals het openen van Tesla laad poorten, televisies besturen en uitzetten met bijvoorbeeld vluchtgegevens.

Een simpel infrarood progamma had ik op mijn eerste PSP al, daarmee kon je ook tv's bedienen in bijvoorbeeld de Media Markt. En dat Tesla het signaal voor het openen van de laadpoort (wat natuurlijk onschuldig is) niet beveiligd heeft is geen probleem van de Flipper Zero, maar een probleem van Tesla.

kodak @Vorkie • 9 april 2023 14:33

Zelfs met hoge verkoopcijfers is gebruik van Flipper-zero nog maar niche vergeleken met de miljarden die fabrikanten en verkopers als Amazon verdienen aan werkelijk onveilige producten.

En net als met die filmpjes: resultaat van het laten geloven om er voordeel bij te hebben lijkt belangrijker dan de werkelijkheid. Ik lees je, net als Amazon, geen inhoudelijke onderbouwing geven waarom in stand houden van willen geloven belangrijker is dan onderbouwd afwegen. Dan lijkt het niet te gaan om risico's willen voorkomen, maar meer om liever hopen dat waan belangrijker is.

Mathijs Kok @kodak • 9 april 2023 18:51

Zelfs met hoge verkoopcijfers is gebruik van Flipper-zero nog maar niche vergeleken met de miljarden die fabrikanten en verkopers als Amazon verdienen aan werkelijk onveilige producten.

En net als met die filmpjes: resultaat van het laten geloven om er voordeel bij te hebben lijkt belangrijker dan de werkelijkheid. Ik lees je, net als Amazon, geen inhoudelijke onderbouwing geven waarom in stand houden van willen geloven belangrijker is dan onderbouwd afwegen.

En ik lees geen enkele inhoudelijke onderbouwing voor je mening dat Amazon miljarden verdient aan werkelijk onveilige producten.

kodak @Mathijs Kok • 10 april 2023 12:58

Het is bekend dat bijna alle elektronische producten en diensten wel beveiligingsfouten in zich hebben. Amazon bestaat bijna 30 jaar, verkoopt al ruim 20 jaar ook miljarden elektronische producten, dan kom je op dit soort bedragen uit.

Maar zelfs al zijn het alleen al de miljoenen die ze al die tijd verdienen aan verkoop van smartphones, home appliances, nas-systemen enz. waar beveiligingslekken in bewezen zijn, dan nog zijn de verkoopcijfers van de Flipper-zero nog maar een niche te noemen.

GertMenkel @Vorkie • 9 april 2023 22:43

Een beetje protocol is hier niet vatbaar voor, social media staat vol met neovideo's. Als Tesla's laadpoorten daadwerkelijk een protocol hebben dat zo makkelijk op afstand te activeren is, brengen ze maar beter snel een update uit.

Televisies uitzetten deed ik ook, en kan ik nog steeds. Mijn telefoon heeft namelijk een infraroodpoort. Het lijkt me grote onzin om daarom maar telefoons met afstandsbedieningapps te blokkeren, want stel je voor! Mijn god, stel je voor dat iemand een Logitech Harmony koopt, daarmee is zo'n beetje alles uit te zetten!

Laat de fabrikanten van alle ondeugdelijke troep hun rommel maar opruimen in plaats van dat radiospeelgoed van de markt wordt gehaald. Dit soort ongein wordt al meer dan twintig jaar uitgehaald door alles van Barbiespeelgoed tot simpele antennebordjes, zo'n verkoopverbod lost het verkeerde probleem op.

YopY @Vorkie • 9 april 2023 15:06

Tesla laadpalen (poorten?) openen is een beveiligings-issue aan Tesla hun kant, en "televisies besturen" is een truuk dat al tientallen jaren oud is. Ik heb jaren geleden iemand ontmoet die een workshop solderen / IoT gaf, die heeft zijn fortuin tig jaar geleden gemaakt met een afstandsbediening die nagenoeg elke TV uit kon zetten. Stom gadget die je in elk tankstation en dollar store kunt vinden.

xoniq @YopY • 9 april 2023 15:30

Ik leerde dat zelfs op school 20 jaar geleden, eerste soldeer klusje was een IR module in een serial port stekker bouwen, zodat je dan met je laptop je tv kon bedienen.

Zo oud is dat al inderdaad.

Jerie

@YopY • 9 april 2023 16:37

TV-be-gone? Kan een Flipper Zero hardwarematig ook. Infrarood is geen veilige protocol layer.

Bor Coördinator Frontpage Admins / FP Powermod @Jerie • 9 april 2023 19:32

Infrarood is op zich dan ook het medium, namelijk infrarood licht. Welk protocol je daar overheen stuurt is geheel aan jou. Of je daar beveiliging inbouwt ook.

Jerie

@Bor • 9 april 2023 21:42

Op zich klopt dat maar het is 1) wireless, en 2) veelvuldig onveilig geïmplementeerd.

Het feit dat infrarood geen veilig protocol layer is, heeft nog een ander nadeel: je kunt nooit veilig een authenticatie plegen via infrarood. Dus je eerste handshake is per definitie onveilig. Wanneer het apparaat (bijv afstandsbediening) enkel via infrarood kan babbelen, dan kan het niet veilig zijn, tenzij deze van te voren al is gepaired in de fabriek (en ze dat in veilige setting deden). Maar mijn ervaring is dat je ze pas kunt pairen bij eerste gebruik.

FreshMaker @Vorkie • 9 april 2023 19:13

Niet zo heel gek, als je ziet wat voor ongein er op sociale media mee uitgehaald wordt, zoals het openen van Tesla laad poorten, televisies besturen en uitzetten met bijvoorbeeld vluchtgegevens.

Televisies 'besturen' deden wij in 1993 ook al, met verschillende afstandsbedieningen door het raam 'schijnen' en de TV op een ander kanaal zetten ( of inderdaad uit )

redtails 9 april 2023 11:22

Wel geinig om te zien hoe kapot alle "beveiliging" eigenlijk wel niet is, overal om ons heen.

Meer dan een lock-picking set is dit in mijns inziens dan ook niet. Maarja het is minder grappig als een willekeurig persoon jouw auto ontgrendeld en spullen steelt. Ja het is "mijn" schuld dat ik een onveilige auto heb, maar wat kan ik er aan doen? In deze vraag kun je "auto" vervangen door je andere favoriete object met kapotte draadloze beveiliging.

xoniq @redtails • 9 april 2023 15:34

Welke auto denk je hiermee open te kunnen maken dan? Modernere auto’s gebruiken rolling codes, net als garagedeur openers van de laatste 15 jaar. Dat is hier niet mee te doen.

ouweklimgeit @xoniq • 9 april 2023 16:38

Als ik jouw afstandsbediening van de auto weet te bemachtigen, het 'open' signaal uitlees en eerder bij de auto ben dan jij, dan gaat hij wel degelijk open. Een tweede keer zal niet lukken, maar die eerste keer zeker. Heb het thuis getest met mijn flippers, en de auto's gaan probleemloos eenmalig open. De use-case is daarom beperkt, maar als jij je autosleutels in een restaurant even op tafel laat liggen als je naar het toilet gaat, dan kan dus zeer zeker iemand (met bijv. een Flipper) je auto openen.

xoniq @ouweklimgeit • 9 april 2023 17:18

Maar.. als jij de afstandsbediening indrukt, gaat de auto al open, en na zoveel seconden weer dicht, en is de code alweer veranderd. Dus dat is niet bepaald nuttig.

Echter doen veel nieuwe auto’s momenteel een knopje op de handgreep, en dus geen AB meer gebruiken. Dus ja, het probleem lost zichzelf daar wel mee op.

Dat laatste levert echter wel een ander probleem op, hoe nieuwe auto’s gejat worden, een ontvanger bij de voordeur, en een zender bij de auto, dan op t knopje drukken, dan denkt de auto dat de AB dichtbij is en gaat ie open. Hetzelfde moet dan ook voor t starten. Blijft een kat en muis spel qua techniek.

xbeam @xoniq • 9 april 2023 17:38

Dat omzeil je met Rolljam atack met indrukken van key fob gaat je auto namelijk niet open en kan je de de niet afgestreepte key op een later moment gebruiken.
https://hackaday.com/tag/rolljam/

Hier een educatief fimpje met uitleg van hoe dat werkt
https://m.youtube.com/watch?v=5CsD8I396wo

[Reactie gewijzigd door xbeam op 22 juli 2024 19:31]

xoniq @xbeam • 9 april 2023 18:23

Ah die kende ik niet. In feite zorg je dat de code de auto niet bereikt, en is ie eenmalig later in te zetten mits het slachtoffer de AB niet heeft aangeraakt intussen.

ouweklimgeit @xoniq • 9 april 2023 23:09

Zelfde verhaal wanneer jouw AB de auto niet bereikt

Dus in een restaurant, etc. Jouw zender stuurt een werkende code, die nooit bij de auto aankomt maar wel bij de Flipper. Zodra de Flipper in de buurt van je auto is en die code verstuurt, weet jouw auto niet anders dan dat het jouw afstandsbediening is.

De Rolljam gaat nog een stap verder, die blokkeert jouw eigen signaal, maar dat is op zich niet nodig als je ver genoeg weg bent.

xoniq @ouweklimgeit • 9 april 2023 23:24

Echter moet je daarna ook nog een repeater/relay uitvoeren om de auto te starten als dat de doel is. Makkelijkste is gewoon de sleutel meenemen, als je dan toch in een restaurant op een knopje drukt, kan je gelijk de hele auto meenemen, als t eten goed is duurt t even voor ik het door heb

xbeam @xoniq • 9 april 2023 16:05

Honda’s die een oude cve in de sleutels nog steeds niet gefixt heeft of ze durven een terug roep actie niet aan omdat ze anders slapen honden wakker maken. Ik heb geen idee waarom ze het niet fixen

https://thehackernews.com...access-bug-could-let.html
&
https://www.securityweek....-car-doors-start-engines/

Honda has confirmed that researchers were indeed able to hack the remote keyless entry system of certain Honda vehicles to unlock the doors and start the engine.

Verder gaan er genoeg moderne minder dan 10 jaar oude garage deuren gewoon open met een replay atack.

[Reactie gewijzigd door xbeam op 22 juli 2024 19:31]

redtails @xoniq • 9 april 2023 17:01

Je kunt "auto" gerust vervangen met een ander apparaat. Stekkerdoos automatisatie, fabrieksautomatisatie, gebouwbeheer, wifi, bluetooth, reclameborden langs de weg, garagedeuren, bedrijfskaartlezers, etc.

Niet elk product is onveilig, maar binnen elke categorie zal je apparaten tegenkomen met compleet kapotte beveiliging. De reden dat beveiliging zo kapot is varieert nogal, maar komt vaak door gemakzucht van fabrikant en/of eindgebruiker. Een wifimodem wordt ook iets vaker vervangen dan de deursensors in een kantoorpand, vandaar dat er veel tijd is om de beveiliging eventueel te kraken of te omzeilen

In veel gevallen zie ik in dat pentesting eigenlijk een pijnpunt blootlegt. We weten echt wel dat verouderde kaartleessystemen slecht beveiligd zijn, maar het is erg kostbaar om dit te verhelpen

BounceMeister 9 april 2023 11:04

Uit het artikel wordt me niet geheel duidelijk of er nu wel of geen bankkaarten mee kunnen worden gekloond?

Dennisdn @BounceMeister • 9 april 2023 11:50

Hier doen ze een poging met een NL-bankpas, die blijkt te goed beveiligd, maar de software is er en kan mij voorstellen dat niet alle banken zo goed beveiligen als de NL-banken. Iets verderop in het filmpje doen ze het zelfde met een laadpas om te auto op te laden en die werkt wel. https://www.youtube.com/watch?v=o2HNXdFijfo

Bor Coördinator Frontpage Admins / FP Powermod @Dennisdn • 9 april 2023 12:07

Hier doen ze een poging met een NL-bankpas, die blijkt te goed beveiligd, maar de software is er en kan mij voorstellen dat niet alle banken zo goed beveiligen als de NL-banken.

Dat lijkt mij heel erg sterk. Wat de flipper zero doet is niet super geavanceerd. In veel filmpjes zie je niet meer dan een replay aanval waarbij een eerder "opgenomen" bitserie wordt herhaald. Daar trappen steeds minder /alleen slecht ontworpen systemen in. Bescherming tegen dit soort aanvallen hoort bij een goede security hygiëne / ontwikkelmethode. Hetzelfde geldt voor bescherming tegen brute force aanvallen die je met de flipper zero ziet gebeuren.

Dennisdn @Bor • 9 april 2023 15:34

Ik heb verder geen enkele kennis van dat kastje, ben alleen even gaan zoeken naar aanleiding van dit nieuwsbericht. Maar als alleen slecht ontworpen software vatbaar is, vind ik het best schokkend dat je er (nog steeds) de Tesla klepjes mee open kunt laten gaan. Nu is dat vast ook onschuldig en voor de gebruiker alleen net zo irritant als een TV uit laten gaan (wat wij in de jaren '80 al heel flauw deden met een universele afstandsbediening) maar ik zou verwachten dat Tesla dat er bij de eerste de beste softwareupdate wel uit had gehaald.

[Reactie gewijzigd door Dennisdn op 22 juli 2024 19:31]

Jerie

@Dennisdn • 9 april 2023 16:29

Tesla auto's zijn uniek te identificeren aan de hand van hun Bluetooth adres. Er is zelfs een online database waar je ze kunt spotten, ook een app voor, is ook op Tweakers geweest.

cire @Dennisdn • 9 april 2023 12:39

De Nederlandse banken volgens gewoon Mastercard en Visa. Dus de beveiliging voor bankpassen is wereldwijd vrijwel hetzelfde.

In principe wordt er mbv een symmetrische sleutel een digitale handtekening gezet. Deze Flipper kan dat niet zomaar klonen.

In zogenaamde offline betalingen (waarbij er geen contact met je Bank wordt gezocht) zullen bepaalde bankpassen wel kwetsbaar zijn. Maar dat is alleen voor lage bedragen

HakanX @cire • 9 april 2023 15:19

"Laag" is wel relatief. Als je bv in de stad kan lopen en in een minuut 100 mensen draadloos kan skimmen, dat doorsturen naar het buitenland en van iedereen €50 kan afschrijven, dan kan je de bank toch aardig wat schade aandoen als je daar je werk van maakt.

cire @HakanX • 9 april 2023 16:43

De situatie die jij beschrijft kan wel. Maar dan heb je geen Flipper nodig, maar een echt betaalautomaat...

HakanX @cire • 9 april 2023 17:42

Die betaalautomaat (op naam) gaat snel geblokkeerd worden en je gaat niet uitbetaald worden. In mijn voorbeeld gedraagt de Flipper zich als relay, stuurt het via je telefoon door op het internet waarmee ze in een vaag Oost-Europees land bij verschillende automaten/winkels kunnen betalen.

Mathijs Kok @HakanX • 9 april 2023 18:56

"Laag" is wel relatief. Als je bv in de stad kan lopen en in een minuut 100 mensen draadloos kan skimmen, dat doorsturen naar het buitenland en van iedereen €50 kan afschrijven, dan kan je de bank toch aardig wat schade aandoen als je daar je werk van maakt.

Dan moet je per minuut ook 100 gecloned kaarten maken, mensen vinden die iets voor 50 euro willen gaan kopen met een illegale kaart en alles geheim houden.

Als business model lijkt me dat niet echt werkbaar.

Inproba

@BounceMeister • 9 april 2023 11:09

Wat ik vermoed is dat het draadloos betalen stuk van de bankkaart gekloond kan worden.
(Als je zo kijkt wat dit ding kan doen: https://flipperzero.one/)

Maar dat durf ik niet met zekerheid te zeggen.

[Reactie gewijzigd door Inproba op 22 juli 2024 19:31]

Sissors @Inproba • 9 april 2023 11:35

Kan niet, die dingen zijn beveiligd. Er zijn wel nog genoeg RFID gebaseerde toegangspoortjes, printers, etc, die enkel een unieke ID uitlezen van een RFID chip. En die unieke ID, is niet zo uniek. Als in, die is niet beveiligd en kan je zo kopieren als je wat hardware hebt die dat ondersteund. En dan kan je dus een pas voor toegang kopieren.

Maar dingen van bankpassen tot paspoorten, hebben allemaal beveiligde data die dit ding echt niet kan kopieren.

telenut @Sissors • 9 april 2023 11:40

Dit kan met zowat elke Android telefoon al, is geen extra hardware voor nodig :-)

xbeam @Sissors • 9 april 2023 16:36

Mijn ing en OV kaart en paspoort worden anders prima uitgelezen en geemuleerd.

Het is al een oud filmpje en gelukkig moet je 10 jaar met je paspoort doen dus er zullen genoeg van dit type NL passporten als in het filmpje in omloop zijn waar dit nog mee kan.
https://m.youtube.com/watch?v=0u4pg_XwNk8

[Reactie gewijzigd door xbeam op 22 juli 2024 19:31]

Sissors @xbeam • 9 april 2023 16:54

14 jaar oud filmpje, en toen moesten die apparaten dus ook de 10 jaar oude paspoorten ondersteunen, dus 24 jaar oude nu. En dan de vraag of het uberhaupt echt is, want ik lees ook zo snel dat er met dit apparaat heel veel nep tiktok filmpjes in omloop zijn.

Dat hij jouw paspoort en pinpas prima emuleert geloof ik gewoon geen drol van. Dan zou de encryptie van al die dingen gekraakt worden door wat uiteindelijk een stuk speelgoed is? Dezelfde encryptieprotocollen die voor heel veel andere zaken gebruikt wordt. Dan zou er grote paniek zijn, dan kan je dus even iedereens pinpas kopieren en zijn/haar bankrekening leegtrekken. Dan zouden er nu massaal pinpassen vervangen worden. En toch gebeurd dat niet...

Zie ook de community FAQ: https://github.com/djsime...to-authorize-transactions (plus volgende vragen die daar staan).

xbeam @Sissors • 9 april 2023 17:11

Wr zijn wel degelijk nfc pinpas kloners in omloop https://www.security.nl/p...actloze+bankpassen+klonen

Op internet en Londense zwarte markten worden apparaatjes aangeboden waarmee criminelen tot 15 contactloze betaalpassen in een seconde kunnen klonen, zo melden de Daily Mail en Daily Star. Het apparaatje, de Contactless Infusion X5, kost 500 pond, inclusief software en lege passen.

De NFC Kisi encryptie is echt al heel lang gekraakt.
https://arkandas.com/blog/mifare_classic_cracking/

En je vergeet de Honda key CVE
https://www.securityweek....-car-doors-start-engines/

Honda has confirmed that researchers were indeed able to hack the remote keyless entry system of certain Honda vehicles to unlock the doors and start the engine

Ik zeg niet dat allemaal standaard out of te box kan met flipper zero, want dat kan inderdaad niet maar met watcreativiteit op de pc kom end of ik ook met geklonde pinpas tot 25 euro kan betalen weet ik niet maar inhoud van de pas uitlezen deuren openmaken die aan min pinpas zijn gekoppeld lukt zeker. Als ik type kaart EMV selecteer om te scannen dan krijg ik netjes.

AID: Maestro (debet)
iso 14443-4 (nfc- A)
Uid: xxxxxx
ATOA: 00 42 sak:20
Enz
Een inhoud van de kaart te zien.

[Reactie gewijzigd door xbeam op 22 juli 2024 19:31]

Sissors @xbeam • 9 april 2023 18:04

De Daily Mail is zo ongeveer minst betrouwbare bron die je kan vinden. Als die zeggen dat water nat is, zou ik nog maar eens dubbelchecken of dat echt zo is. Dat ze je rekeningnummer van een pas kunnen uitlezen? Zal vast, goede kans dat dat niet encrypted is. Dat ze ermee kunnen betalen omdat ze je rekeningnummer hebben? Bullshit. Snelle Google leert ook dat die Infusion X5 gewoon een rebranded aliexpress NFC lezer is.

Als jij een pinpas kan klonen, kan je dus de gehele rekening van diegene leeghalen, bij een Rabobank ook de spaarrekening. Kan je dat doen met een simpele NFC kaartlezer dan zouden er gigantisch veel gevallen van zijn, het zou enorm aantrekkelijk zijn. Even NFC lezertje bij iemands portemonee in de buurt houden, en je bent zo rijk.

De NFC Kisi encryptie is echt al heel lang gekraakt.
https://arkandas.com/blog/mifare_classic_cracking/

Jouw pinpas, of jouw paspoort, gebruiken niet Mifar classic encryptie...

En je vergeet de Honda key CVE
https://www.securityweek....-car-doors-start-engines/

Dat er slecht encrypties in omloop zijn geloof ik ook wel. De afstandsbediening van de poort van mijn VvE is extra sterk beveiligd met 4096 mogelijkheden! (Oftewel er zitten 12 DIP switches in die je kan instellen, en elke replay attack maakt het hek open). Maar dit heeft heel weinig te maken met hoe jij claimt dat je even je paspoort en pinpas hiermee kopieert.

xbeam @Sissors • 9 april 2023 18:40

Klopt maar mijn tot 2025 ing pinpas is wel uitleesbaar en zegt dat hij EMV is waar ze het op securty.nl over hebben.
Daarnaast gaat onze gezamenlijke vve garage gebouwd in 2013 gaat gewoon open met 433 replay daar zit NUL beveiliging in

[Reactie gewijzigd door xbeam op 22 juli 2024 19:31]

Sissors @xbeam • 9 april 2023 18:45

Er is alleen dus een enorm verschil tussen banknummer en misschien nog drie dingen kunnen uitlezen, en de kaart kunnen kopieren / emuleren.

Accretion 9 april 2023 10:51

Dan kunnen ze zo'n setjes met verschillende "lockpicks" ook wel verbieden.

Daniel Jackson 9 april 2023 11:11

Het wordt verkocht als tool om veiligheid te onderzoeken, maar als ik de mogelijkheden zo eens bekijk lijkt het me een apparaat dat in de praktijk vooral voor slechte zaken gebruikt wordt. Van mensen irriteren ermee tot regelrechte overtredingen.

duderuud @Daniel Jackson • 9 april 2023 11:31

Zullen we auto's dan ook maar gaan verbieden?

YopY @Daniel Jackson • 9 april 2023 15:09

Dat kan je ook met een hamer doen, waar zou jij de grens leggen?

Ik bedoel met eenvoudige electronica kun je ook bijv. een wifi stoorzender bouwen, daar heb je echt geen Flipper voor nodig.

Sfynx @Daniel Jackson • 9 april 2023 19:13

Juist omdat het al die mogelijkheden heeft is het een effectieve tool om veiligheid mee te onderzoeken. Daarvoor is het nu eenmaal noodzakelijk dat je ook de mogelijkheid hebt om te proberen die veiligheid te doorbreken, hoe moet ik anders weten of iets veilig is?

The Zep Man

Singleboardcomputers

9 april 2023 12:06

Dan zou dit ook verboden moeten worden. Net als dit, uiteraard.

Wat Amazon toepast is cherrypicking. Dat is gevaarlijk, omdat het een vals gevoel van veiligheid creëert.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:31]

MiesvanderLippe 9 april 2023 12:16

Geinig. Mag ik nog wel een HackRF en een Proxmark kopen? (Ja).

Bor Coördinator Frontpage Admins / FP Powermod 9 april 2023 12:21

Dit gaat de prijs, welke al enorm is gestegen door de vele social media filmpjes, waarschijnlijk alleen maar meer opdrijven en mogelijk zal de vraag alleen maar toenemen. Met dit soort (re)acties zorg je voor een soort mythische status terwijl het apparaat in kwestie eigenlijk helemaal niet zo heel bijzonder is en eigenlijk alleen goed tot zijn recht komt in de juiste handen (lees; iemand die weet wat hij doet, hoe de techniek en gebruikte protocollen werken etc).

Koeznetsov1982 9 april 2023 12:28

inderdaad dit is goede gratis marketing voor een schaars verkrijgbaar product

Op dit item kan niet meer gereageerd worden.

Amazon.com verbiedt verkoop Flipper Zero-multitool in webshop

Lees meer

Reacties (131)

Sorteer op:

Weergave: