Apple lost bug op waarmee Flipper Zero-multitool iPhones kon laten crashen

Apple heeft in iOS-versie 17.2 naar het schijnt een bug opgelost waarmee de Flipper Zero-multitool iPhones kon laten crashen. Dat gebeurde door de telefoons te overspoelen met bluetoothpop-ups.

De Flipper Zero was in staat om, met de externe firmware Flipper Xtreme, de ingebouwde bluetoothradio te gebruiken om in korte tijd een spervuur aan bluetoothverbindingsnotificaties te versturen naar apparaten binnen een straal van circa 10 meter. Door de grote hoeveelheid pop-ups bevroren iPhones, waarna ze automatisch opnieuw opstartten. Op Android- en Windows-apparaten werkte de aanval ook, alleen waren deze beter bestand tegen een dergelijke pop-uptsunami. De afgelopen maanden hebben meerdere mensen melding gedaan van zo'n denial of service-aanval. Ook in Nederland vond dit plaats, blijkt uit een artikel van ArsTechnica waarin iPhone-gebruiker Jeroen van der Ham werd geïnterviewd. Volgens hem werd de Flipper Zero-aanval meermaals in de trein gebruikt.

De enige manier waarop iPhone-gebruikers een dergelijke aanval konden voorkomen, was door de bluetoothfunctionaliteit volledig uit te schakelen. Uit tests van Zdnet en 9to5Mac blijkt nu echter dat dit probleem met de iOS 17.2-update is verholpen, die eerder deze week is uitgebracht. Er is een mechanisme toegevoegd waardoor het niet meer mogelijk is om in korte tijd een stortvloed aan pop-ups naar het apparaat te verzenden. Als gebruikers nu de Flipper Zero-aanval uitvoeren, komen er slechts enkele pop-ups tevoorschijn en crasht de iPhone zodoende niet. Apple heeft zelf niet bekendgemaakt dat het deze bug heeft opgelost.

Flipper Zero is een multitool voor pentesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen en kan voor onderzoeken of tests van apparaten worden gebruikt. Het apparaat kan onder meer RFID en infraroodsignalen lezen, schrijven en emuleren. Tot voor kort was de tool nog verkrijgbaar bij bol.com en Amazon, maar inmiddels is de Flipper Zero bij beide webshops uit de handel gehaald.

Flipper Zero-aanval op iPhone
Afbeelding via Zdnet

Door Kevin Krikhaar

Redacteur

Feedback • 16-12-2023 13:03 131

16-12-2023 • 13:03

131

Lees meer

Flipper Zero-makers brengen gadget uit om aan te geven dat je het druk hebt
Flipper Zero-makers brengen gadget uit om aan te geven dat je het druk hebt Nieuws van 10 april 2025
Flipper brengt 1.0-update uit voor Flipper Zero-multitool
Flipper brengt 1.0-update uit voor Flipper Zero-multitool Nieuws van 11 september 2024
Schermen Samsung Galaxy S21-modellen tonen groene streep na update
Schermen Samsung Galaxy S21-modellen tonen groene streep na update Nieuws van 19 april 2024
Canada ziet toch af van een verbod op Flipper Zero
Canada ziet toch af van een verbod op Flipper Zero Nieuws van 22 maart 2024
Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal
Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal Nieuws van 10 februari 2024
Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico
Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico Nieuws van 8 februari 2024
'Apple wil toegang tot content nieuwsuitgevers om AI-model te trainen'
'Apple wil toegang tot content nieuwsuitgevers om AI-model te trainen' Nieuws van 23 december 2023
Gerucht: iPhone 16 Pro krijgt ultragroothoekcamera van 48 megapixel
Gerucht: iPhone 16 Pro krijgt ultragroothoekcamera van 48 megapixel Nieuws van 18 december 2023
Amazon.com verbiedt verkoop Flipper Zero-multitool in webshop
Amazon.com verbiedt verkoop Flipper Zero-multitool in webshop Nieuws van 9 april 2023
Google-onderzoeker kon iOS-apparaten volledig overnemen via wifi-exploit
Google-onderzoeker kon iOS-apparaten volledig overnemen via wifi-exploit Nieuws van 2 december 2020
Apple plet Safari-bug die scammers gebruikten in scareware-campagne
Apple plet Safari-bug die scammers gebruikten in scareware-campagne Nieuws van 28 maart 2017
Meer producten en artikelen
Smartphones Singleboardcomputers Apple iPhone Bluetooth Bugs Flipper Zero Popup

Reacties (131)

-Moderatie-faq
131
127
47
2
0
49
Wijzig sortering
Neelix 16 december 2023 13:47
Ik (de Jeroen die geïnterviewd was) kwam de mafklep deze week weer tegen in dezelfde trein, was ie opnieuw met z'n flipper bezig deze berichten uit te sturen.

Ik heb hem deze keer uitgebreid geconfronteerd. Hij wist niet dat 17.2 het al had opgelost, dus was weer vrolijk zonder op te letten bezig om continu iPhones te laten crashen.
Hij had er geen reden voor, gaf zelf toe dat het kinderachtig was. Hij had het al de hele dag aan staan. Hij vond wel dat het niet strafbaar was om het te doen.

[Reactie gewijzigd door Neelix op 22 juli 2024 15:12]

Jeoh @Neelix16 december 2023 14:19
Ik ben geen advocaat maar volgens mij is de wet er vrij duidelijk over:

Artikel 138b Wetboek van Strafrecht:
1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.

2. Indien het feit wordt gepleegd:

a.met behulp van een aanzienlijk aantal geautomatiseerde werken die getroffen zijn door het gebruik van een middel als bedoeld in artikel 139d, tweede lid, dat hoofdzakelijk daarvoor geschikt is gemaakt of ontworpen;

(..)

wordt de schuldige gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie.
PaulHelper @Neelix16 december 2023 18:04
Het is inderdaad problematisch dat apparaten crashen wanneer iemand zoiets doet. En het is in de trein niet echt de plek om hier lol mee te hebben ben ik met je eens.

Toch is het wel goed dat dit gebeurt, specifiek dat de Flipper zero deze kwetsbaarheid naar boven liet komen.
Goed dat apple het gefixt heeft. Ik ben benieuwd in hoeverre Android en Windows nog voor deze attacks kwetsbaar zijn.
Het was vooral erg dat het totaal het apparaat tijdelijk onbruikbaar maakt(e).
En dat het zo makkelijk is met een kleine vrij goedkope Flipper maakt het dan natuurlijk nog erger. Maar ik had ook een android app gezien die dit emuleerde. Hoe effectief was durf ik niet te zeggen maar dat was helemaal makkelijk.
tweakert4plus @PaulHelper17 december 2023 10:11
>En het is in de trein niet echt de plek om hier lol mee te hebben ben ik met je eens.
Ook als je in stiltecoupe zit en door elke 5 sec -bliebblieb-, -tingting-, -blabla- je uit je boek wordt gehaald?
Pathogen @tweakert4plus17 december 2023 12:08
Ja. Ook dan.
Hans1990 @PaulHelper16 december 2023 18:52
De benodigde hardware van de Flipper Zero is vermoedelijk enkel de ESP32 chipset (WiFi+BT). Die chip kost letterlijk 1$, plus nog een paar onderdeeltjes omheen.. zodoende voor 4 euro te koop op een hobby bordje.

Het probleem is dat dit soort acties totaal niet nodig zijn om een punt te maken. Een proof-of-principle aantonen om vervolgens bij betrokken partijen te melden lijkt mij voldoende. Dat lijkt mij tenminste nog constructief. De persoon in die trein gaat toch echt een stap verder door in openbaar dit te doen, zonder terugkoppeling, met ogenschijnlijk de insteek om opzettelijk te frustreren, ofwel destructief (ook al is het ongemak slechts een reboot).

Maar goed: genoeg gewicht geven aan zo'n "beveilings"-probleem is ook benodigd om de urgentie bij fabrikanten duidelijk te maken. Voor hetzelfde geld laten fabrikanten dit maanden of jaren liggen.
voxl_ @Hans199016 december 2023 23:28
Flipper zero heeft geen wifi, daar moet je een uitbreidingsbordje voor gebruiken.
Pedrooo @Wim Cossement18 december 2023 10:13
Het zou je maar gebeuren terwijl je een uiterst belangrijk telefoontje verwacht. Dan zit je wel in de stress. Ga maar lekker je punt maken in een daarvoor geschikte omgeving.
Wim Cossement @Pedrooo18 december 2023 12:45
Uiterst belangrijk nieuws kan ook op andere manieren medegedeeld worden, of is het daarvoor niet belangrijk genoeg?
Zoop @Wim Cossement18 december 2023 16:37
Zoals? Een belangrijk telefoontje van een klant, of juist van een potentiële werkgever. Ga je die dan vertellen dat indien je niet bereikbaar bent, ze op andere manier moeten contacteren? En dan nogmaals, zoals? Vrijwel alles gaat via die telefoon. Ben je mooi die klant of baan kwijt.

Is niet zo heel moeilijk dit soort situaties voor te stellen, iets meer medeleven voor je medemens zou je sieren.

Bovendien zit zo'n joker dit constant te doen in de trein, dus je telefoon staat constant te rebooten.

Hoe dan ook zijn dit geen grappen en ik snap niet hoe je dit kan verdedigen met "oh joh, zo erg is dat toch niet"
DigitalExorcist @Zoop19 december 2023 06:17
En wat nu als je telefoon stuk valt, batterij leeg is, geen bereik hebt?
Zoop @DigitalExorcist19 december 2023 09:39
Dan is dat nog op zijn minst door jezelf, en iets waar je invloed op kan hebben (laten repareren (reserve mee), opladen, bereik zoeken) in plaats van dat een onbekende onzichtbare bron je telefoon steeds zit te herstarten. Groot verschil.
Wim Cossement @Zoop19 december 2023 13:12
Het resultaat blijft hetzelfde, je bent niet bereikbaar. En dan? Ik zie ook niet echt in wat dat met medeleven te maken heeft, ocharme die even onbereikbare schapen.

Men hoeft heus niet altijd bereikbaar te zijn, als de boodschapper slechts 1 poging wil doen om je te contacteren en verwacht dat je had moeten kunnen opnemen is er iets deftig fout met hun ingesteldheid en ben je die liever kwijt dan rijk.
Een mail werkt ook, die zie je dan gewoon iets later, maar de boodschap is identiek. Als ze voor jou gekozen hebben komt het toch niet op een uurtje of zo eer je het weet, aangezien hun beslissing al gemaakt is.

En dat allemaal dankzij de (vermeende?) topkwaliteit van Apple-toestellen! :P

[Reactie gewijzigd door Wim Cossement op 22 juli 2024 15:12]

Zoop @Wim Cossement19 december 2023 16:26
Het resultaat is ook hetzelfde als ik jouw telefoon verniel of steel, dus dat moet dan ook maar kunnen? Stelletje ocharme onbereikbare schapen moeten niet zo zeuren.

Wat een achterlijke beredenering.
Wim Cossement @Zoop20 december 2023 14:15
Niet helemaal, even onbereikbaar zijn is bij lange niet hetzelfde als diefstal of vernieling.
Misschien stop je best me je tijd hier te verspillen, zie dat je toevallig een melding pas na 5 minuten kan behandelen, je luxeleventje zou serieus in het gedrang kunnen komen! Bedankt om de ratrace in mijn plaats te lopen, de maatschappij gaat er daardoor met rasse schreden op vooruit.

En iedereen heeft recht op zijn dagelijkse dosis achterlijkheid... 8)7
kodak @Neelix16 december 2023 14:20
Sinds 2006 hebben we in Nederland al een verbod op Denial of Service (Artikel 138b). Opzettelijk met gegevens toezenden het gebruik of toegang tot een geautomatiseerd werk (zoals andermans server, laptop tablet of smartphone) belemmeren is strafbaar. Dus ik ben heel benieuwd of jullie het daar nog over gehad hebben zodat de persoon er mee stopt. Want je zal maar 112 nodig hebben of hoe dan ook urgent iets moeten regelen. Het klinkt niet alsof deze persoon daar de verantwoordelijkheid voor wil dragen.

[Reactie gewijzigd door kodak op 22 juli 2024 15:12]

Guru Evi @kodak16 december 2023 18:01
Wel een rare bewoording. Mag je in principe niet staken of betogen want dat is ook het belemmeren of overspoelen van allerlei automatische systemen (zoals CCTV, platenlezers, koeriers)

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:12]

mjz2cool @Guru Evi17 december 2023 07:02
Met staken overspoel je geen apparaat met netwerk/bluetooth pakketjes. Het valt niet onder de beschrijving van die wet.
Guru Evi @mjz2cool20 december 2023 00:15
Wel degelijk, als je nu een automatische gezichten/platen lezer hebt gebouwd dat normaal 100 mensen per minuut aanziet en je stuurt er 10,000 per minuut tijdens een betoging, dan valt dit volgens de letter van de wet hier ook onder. En het zou niet de eerste keer zijn dat “justitie” zulke wetten herleest voor dingen waar ze oorspronkelijk niet voor bedoeld zijn.
moonlander @Neelix16 december 2023 14:20
Ach vroeger deden we met Sub-7 ook cdrom lades openen, schermen uitschakelen etc. leuke tijd!
latka @moonlander16 december 2023 16:52
Back orrifice! Good times.
possenier @latka17 december 2023 05:08
Ook veel gedaan, maar dan op een verantwoorde manier. Als we dit deden in mijn lessen toen ik IT studeerde in hoger onderwijs was dit tegen mede leerlingen die op zelfde niveau staat of zouden moeten weten wat er gebeurt. Hier gaat dit puur om misbruik van kennis.
Ik heb ook RFID readers maar dan vooral om te leren. Net om de zelfde reden dat ik heb leren lock picken.
Met kennis komt ook verantwoordelijkheid. Jammer genoeg wordt dit wel eens vergeten.

En als je als noob een Flipper koopt om mee te experimenteren, doe gerust. Maar gebruik hem dan voor onschuldige dingen als vb Tesla charger klepjes open doen.
sdziscool 16 december 2023 13:09
De flipper veroorzaakt eigenlijk dat heel veel meer dingen beter beveiligd worden! Best grappig om dat effect te zien.
bartje @sdziscool16 december 2023 13:56
Een koevoet zorgt er ook voor dat ik mijn deur beter moet beveiligen. Wil nog niet zeggen dat het doel goed is.
Een tool voor pen testen is prima. Maar als je dan in de trein mensen lastig gaat vallen die misschien wel afhankelijk zijn van een telefoon is wel wat zielig.
The Zep Man
@bartje16 december 2023 14:00
Maar als je dan in de trein mensen lastig gaat vallen die misschien wel afhankelijk zijn van een telefoon is wel wat zielig.
Het probleem ligt hierbij aan de persoon die een stuk gereedschap misbruikt, en een fabrikant van een smartphone die zijn zaken niet op orde heeft (had). Het ligt niet aan het gereedschap zelf.
TheVivaldi @The Zep Man16 december 2023 19:21
Precies, The Zep Man. Als we zó gaan denken, dan kunnen we straks ook geen keuken- of snijmessen meer kopen, omdat er helaas wat (met name jonge) gastjes zijn die het leuk vinden om mensen ermee te steken. Succes met het snijden van je komkommer. O-)

O ja, en honkbal schaffen we dan ook maar af, want een knuppel kan ook als wapen worden gebruikt. En een toetsenbord mag ook niet meer, want ook daar kun je iemand best pijn mee doen als je hem/haar vol in het gezicht raakt. En, en, en…

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 15:12]

sapphire @TheVivaldi17 december 2023 07:06
Nouja tijd en plaats zijn nogal van belang hierbij.

Om de koevoet aan te halen, als je met een koevoet loopt op een bouwplaats is dat opzich niet raar. Loop je ‘s nachts door een woonwijk met een koevoet…..

Een keukenmes in de keuken is normaal, loop je met dat zelfde keukenmes in je hand over het station dan is de kans dat de politie er aan te pas komt reeël.

Flipper Zero in een pentest omgeving is prima, ga je in de trein er mensen mee lopen irriteren, niet prima.

@TheVivaldi Hieronder: ja helemaal mee eens hoor!

[Reactie gewijzigd door sapphire op 22 juli 2024 15:12]

TheVivaldi @sapphire17 december 2023 12:06
Dat onderbouwt dus het punt hierboven dat het vooral ligt aan de gebruiker en hoe die met een stuk gereedschap - bijvoorbeeld de Flipper Zero - omgaat. Inderdaad is buiten een pentestomgeving gewoon misbruik. Het zou misschien hooguit kunnen als journalistiek item, maar dan moet je dat van tevoren afstemmen met de mensen die je gaat interviewen, zodat ze weten wat er gaat gebeuren en dat ze geen belangrijke dingen meer hebben openstaan.

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 15:12]

sdziscool @bartje16 december 2023 14:12
Daar ben ik het wel mee eens ja, good faith is niet meer te vinden in veel delen van de westerse wereld.

Bij dit heb ik wel meer het idee dat het een probleem blootstelt dat mogelijk ergere neveneffecten zou hebben.
bzzzt
@bartje16 december 2023 16:14
Bij een deur is het natuurlijk ook wat minder 'binair': je hebt prutsdeuren, redelijk inbraakbestendige deuren, vandalismebestendige exemplaren en zelfs explosie proof exemplaren. Het idee is dat je een inschatting kan maken van de geschatte dreiging (hoe graag iemand achter de deur wil komen vs hoeveel inspanning dat kost). Een deur is conform als het beoogde dreigingsnivo wordt weerstaan.

Met de beschreven tool is het probleem dat iedereen die daarvan in het bezit is overal telefoons kan laten crashen. Het is sowieso niet 'conform' dat een telefoon crashed door signalen die uit de lucht gepikt worden dus dat lijkt me een groter issue dan de paar zielige types die dat demonstreren. Daarnaast hoef je ook geen kosten te maken om dit gefixed te krijgen.
Luchtbakker @sdziscool16 december 2023 13:19
De flipper veroorzaakt eigenlijk dat heel veel meer dingen beter beveiligd worden! Best grappig om dat effect te zien.
Het werd tijd. Maar geloof niet alles wat er bijvoorbeeld op TikTok staat over dit apparaatje. voorbeeldje zijn mensen die in video's beweren dat je met de flipper de go share scooters kunt unlocken maar dat is gewoonweg onzin.

Zo zijn er nog een tal van voorbeelden. Het apparaat kan een heleboel, maar echt niet alles.

[Reactie gewijzigd door Luchtbakker op 22 juli 2024 15:12]

The Zep Man
@Luchtbakker16 december 2023 13:23
Zo zijn er nog een tal van voorbeelden. Het apparaat kan een heleboel, maar echt niet alles.
Wat de Flipper Zero bijvoorbeeld wel kan is MIFARE Classic kaarten klonen. Zo kan je in sommige gemeentes een afvalpas klonen. Dat is geen fout van Flipper Zero of van MIFARE Classic, maar van het gebruik van een smartcardstandaard voor een doel waar het niet geschikt voor is.

Afnemers van apparatuur die onveilig blijkt te zijn voor de toepassing ervan passen vaak DARVO toe als het om de Flipper Zero gaat. Dat schuift de verantwoording af van verkeerde risicoanalyses die genomen zijn in het verleden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Mushroomician @The Zep Man16 december 2023 15:38
Wat is er gevaarlijk aan dat mensen hun afval in de daarvoor bestemde afvalbewaringen kwijt kunnen?
The Zep Man
@Mushroomician16 december 2023 15:48
Dat de rekening voor het openen van de afvalbak bij een ander terecht komt.
Mushroomician @The Zep Man16 december 2023 15:52
Ik wist niet dat er gemeenten zijn die per deuropening afrekenen… 8)7
The Zep Man
@Mushroomician16 december 2023 15:54
Die zijn er. Een voorbeeld dat ik via een korte zoektocht op Google vond is gemeente Druten.
Breng je restafval weg naar een ondergrondse restafvalcontainer in jouw wijk? Neem dan altijd je afvalpas mee. Alleen met een afvalpas kun je de container openen. Je betaalt per keer dat je de container opent €0,75. Aan het eind van het jaar krijg je een rekening voor het aantal keer dat je gebruikmaakte van de container.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Mushroomician @The Zep Man16 december 2023 16:25
Belachelijk. Als er dus 1 servetje uitvalt en je het opnieuw opent kost dat €0,75.
Als dat ding vast zit en je doet poging twee kost dat extra. Genoeg argumenten de gemeente aan te klagen als ik er had gewoond.

Maar bedankt voor de aanvulling 🫡

[Reactie gewijzigd door Mushroomician op 22 juli 2024 15:12]

SgtElPotato @Mushroomician16 december 2023 16:41
Zo kunnen we voor alles wel iets verzinnen. Onder de streep zorg je wellicht op deze manier, als je in de stad woont en geen afvalcontainer thuis hebt, dat je wat bewuster met het afval omgaat.
TheVivaldi @SgtElPotato16 december 2023 19:17
Niet echt, want er zijn genoeg mensen die het naast de ondergrondse containers dumpen. Al komt dat in sommige gemeenten ook omdat ze ze niet vaak genoeg komen legen (bij mijn ouders bijvoorbeeld).

En ik heb mijn eigen containers achter het gebouw, maar ook daar dumpen mensen gewoon van alles in wat niet van mij is, dus dat is zeker geen betere oplossing.
Guru Evi @Mushroomician16 december 2023 19:02
Dan zet je gewoon de afval naast de container. Gebeurt tegenwoordig meer en meer met al die toeslagen, sluikstorten is een groot probleem doorheen Europa en niemand die weet hoe dit komt.
MrMonkE @Mushroomician17 december 2023 08:59
Hele 'vuilnis' verhuizingen naar andere gemeentes, mee naar werk, kleine beetje in zakje in fietstas doen en in publieke prullenbak deponeren, in andere mensen hun bakken. Good luck, Druten! :)

(Dat was hier namelijk het geval toen het werd geïntroduceerd. Het is nu weer weg.
zipje_en_zopje @Mushroomician18 december 2023 13:58
De deur gaat ook open als er geen verbinding kan worden gemaakt met de server. Heb je dat ganse verhaal op de aanval op de servers van Antwerpen gemist 2 jaren geleden?
supersnathan94
@Mushroomician16 december 2023 16:09
Absoluut. Ik betaal per type lichting. 30Liter is iets van €1,80 en 60Liter €3,20 oid. Ik heb alleen nooit meer dan iets van 10L dus die kan ik bij m’n ouders er nog wel bij kwijt.

Dergelijke systemen zijn populair omdat de verbruiker/vervuiler betaalt. Lager verbruik is lagere rekening.
MrMonkE @supersnathan9417 december 2023 09:06
Hier is het afgeschaft omdat het soms stuk was en netto geen winst opleverde en er afval-toerisme ontstond.
supersnathan94
@MrMonkE17 december 2023 20:37
Mja zouden ze hier ook moeten doen.

Wij hebben hier gigantisch last van zwerfafval door hangjeugd. Als het gewoon een normale prullenbak was geweest was het ws niet heel veel beter geweest, maar dan had ik er makkelijker wat van gezegd. De moeite om het dan wel weg te gooien is dan vrijwel nihil en ik vind het prima dat ze het dan in mijn container doen.
Dennisdn
@Mushroomician17 december 2023 06:29
Dan heb je iets gemist, 20 jaar geleden had meer dan een kwart van de Nederlandse gemeentes al Diftar.
mjz2cool @Mushroomician17 december 2023 07:05
Doen de meeste gemeenten dat niet? Het legen van een eigen container betaal je ook.
Hans1990 @The Zep Man16 december 2023 13:47
het gebruik van een smartcardstandaard voor een doel waar het niet geschikt voor is
Jup, daarom zijn de standaarden voor betalingspassen heel anders dan toegangspasjes. Ditzelfde geldt overigens ook voor sleutels en afstandsbedieningen. Een drukknop om een garagedeur te openen is geen sleutel. Ditzelfde geldt ook voor oudere auto "sleutels" zonder (goede) key rotations.

Zo'n tool als Flipper Zero bewijst dan z'n nut maar weer door de bewustwording te vergroten. Sommige mensen zullen zich storen aan zulke provocaties, en dat ombuigen dat kwaadwillende er spullen mee gaan slopen of jatten... maar de innovatie op hardware gebied van Flipper Zero stelt weinig voor. Het spiegelt de goedkoop verkrijgbare RF SoCs die in veel IoT apparaten zitten. De Flipper giet het enkel in een speelgoed doosje met toegankelijke menus. Mensen die echt kwaad willen hadden zulke tools al vele jaren eerder.
Of terugkomend op die IoT apparaten: hoe provocerend zou het zijn als iemand een botnet van zulke IoT devices op weet te tuigen, om daarna een DDoS payload er op te draaien. Gaat dan de halve samenleving plat? Lijkt mij onwenselijk.

[Reactie gewijzigd door Hans1990 op 22 juli 2024 15:12]

litebyte @The Zep Man16 december 2023 15:15
Ik begreep dat veel hotelkamer sleutelkaarten ook zijn te clonen mbv deze....tool.
Bob Popcorn @litebyte16 december 2023 15:31
Eentje clonen moet niet zo'n groot probleem zijn, eentje genereren aan de hand van een kamernummer wel :p
The Zep Man
@Bob Popcorn16 december 2023 15:52
Eentje clonen moet niet zo'n groot probleem zijn,
Wel als sleutels niet vervangen worden aan het einde van de gebruiksperiode van de kamer. Nu een (luxe) kamer voor jezelf huren is later makkelijk in een (luxe) kamer van een ander sluipen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Bob Popcorn @The Zep Man16 december 2023 16:00
Dat gebeurt letterlijk altijd. Na het uitchecken werkt je sleutel niet meer.
supersnathan94
@Bob Popcorn16 december 2023 16:06
Maar waarom werkt de sleutel niet meer? Dat kan namelijk op verschillende manieren worden gedaan.

Als je uit bent gechecked kan de sleutel namelijk gewoon bevroren worden aangezien er niemand in hoeft totdat de volgende inchecked (behalve maintenance) dus kan de single room key uit. De maintenance masterkey blijft dan wel aan op het slot.

Ik weet niet hoe de implementatie werkt van dergelijke sloten, maar kan me voorstellen dat er best wel wat opties zijn om dit te doen.
Bob Popcorn @supersnathan9416 december 2023 16:24
Vaak krijg je van de FDU een code op een pas geschreven waar ook een timestamp aan hangt, vanaf het moment van uitgifte tot aan moment van uitchecken.
The Zep Man
@Bob Popcorn16 december 2023 16:08
Voor smartcards wellicht. Voor iButtons weet ik niet of dit altijd gedaan wordt.

Verder kan een kloon van een smartcard misbruikt worden om van bepaalde slotsystemen de master key te vinden. Dus eentje klonen kan zeker een groot probleem zijn.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Guru Evi @Bob Popcorn16 december 2023 18:58
Afhankelijk van hotel, de sloten moeten dan met WiFi of RS485 of Ethernet verbonden zijn en de mensen die er werken ook weten hoe het werkt. In veel gevallen is het met moeite goed gedaan en hergebruiken ze de codes (verbonden met kamer nummer ipv persoon). Onlangs was er op Defcon een toespraak over die protocollen, als je aan de draadjes kan of toegang hebt tot een slot is er nagenoeg geen beveiliging op het hele netwerk.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:12]

Bob Popcorn @Guru Evi17 december 2023 02:10
Zolang de sloten gewoon een timestamp mee krijgen is er niks aan de hand, en dat kan gewoon op de netspanning.
analog_ @Bob Popcorn17 december 2023 17:45
dan moet het slot ook een klok weer hebben :)
Guru Evi @Bob Popcorn20 december 2023 00:16
Gelukkig zitten de meeste sloten niet op netspanning (dat is een volledig ander probleem - schokkend) maar bedraad met laagspanning (12V/PoE/RS485) of draadloos (met batterijen) verbonden.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:12]

quattro-fan @The Zep Man16 december 2023 14:21
Off topic, maar dank je voor het leren van een (voor mij) nieuw begrip: DARVO. Doet me heel erg aan een voormalige Amerikaanse president denken. ;)
PrimusIP @sdziscool16 december 2023 14:22
Het is wel een machine die het heel toegankelijk maakt dit soort dingen te doen. Je hoeft er niet gek veel verstand van te hebben of hele ingewikkelde dingen voor te doen. Daarmee maakt het ook dat voor mensen die lol willen trappen iets makkelijks om te doen. Of als je ergens fysiek wilt inbreken zonder dat je zwaar into digitale beveiliging bent.

Maar hopelijk dat met dit soort 'vandalisme' van verveelde treinreizigers dit soort dingen wel op de kaart staan en iemand van een bedrijf of beheerder van een appartementencomplex waar ze hun fysieke slot met een voordelige druppel/tag hebben vervangen wel bedenkt dat zo'n flipper wel meer kan dan telefoons laten rebooten. En voorkom je die flipper, dan kunnen mensen met wat meer ervaring en kennis het zelf ook wel maken.
GertMenkel @PrimusIP16 december 2023 17:53
Als je gebouw inbrekers binnenlaat of mensen laat buitensluiten door een Flipper Zero en je te tool de schuld geeft, komt dat eigenlijk neer op "het was te veel moeite om dit op te lossen, we hoopten gewoon dat criminelen er niet achter kwamen". Dat is nu net de insteek die tot het ontwikkelen van het product heeft geleid.

Houd bedrijven en gebouwbeheerders verantwoordelijk voor de stomme, onveilige technologie die overal wordt neergezet, zou ik zeggen. Daar zit natuurlijk een voorwaarde aan (90 dagen voor release melden,misschien langer als er goede redenen zijn om langer te wachten) maar eigenlijk is het alleen maar goed dat een tienerklojo mensen hierover doet nadenken, niet een criminele bende.

De hele maatschappij is volgestouwd met "smart" spul dat omvalt zodra iemand een signaal stuurt waar rekening mee moet worden gehouden. Wat mij betreft gad dit ding vijftien jaar geleden uit moetrn zijn gekomen, tijdens de opmars van die troep, dan hadden we nu niet zulke problemen gehad.

Als een Flipper je druppel klonen, heeft je gebouw overigens wel hele incompetente beveiliging. Er zijn gewoon standaarden die hier resistent tegen zijn, in het slechtste geval kun je een enigszins veilige kaartlezer doen crashen met een protocolfout, al kan dat ook met programmerbare smartcards van een ppaar euro, of een app op je telefoon.
divvid @GertMenkel17 december 2023 07:56
De meeste gebouw beheerders doen hun best. Het is echt kinderlijk eenvoudiger om met social engineering binnen te komen, vaak door gewoon achter iemand an te lopen
kodak @sdziscool16 december 2023 15:04
Er is weinig grappig aan. Beveiliging tegen denial of service is vooral een kwestie van belangen afwegen hoeveel mogelijke oorzaken je kan en wil voorkomen. Omdat er altijd wel een manier is waarop een systeem tegen limieten aan loopt. De flipper is (in dit geval) een speeltje om onnodig een ongewenste situatie te veroorzaken waar we tot nu toe weinig tot geen last van hadden. En met nagenoeg eindeloze mogelijkheden om denial of service-problemen met limieten te veroorzaken is deze oplossing dus vooral een lapmiddel tegen de scriptkiddies en andere maloten die de aangeboden mogelijkheid als speelgoed zien. We gaan het immers ook niet zomaar grappig vinden als verkoop van 'nieuw' soort messen of zwaar vuurwerk zorgt dat er meer beveiliging nodig is omdat men de gewijzigde vorm vooral graag wil misbruiken.
tweakert4plus @kodak17 december 2023 09:37
Misschien wel grappig, in de zin van ironisch, dat 20 jaar geleden men dacht dat met rf signalen het al veilig genoeg is, maar er nu achter te komen dat alleen rf signalen niet afdoende zijn zonder degelijk protocol. Achteraf gezien vind ik dat een naïeve instelling om er goedkoop van af te komen.
Als men iets smart labeled, zoals bv. een bluetooth-slot, ga je er als een domme gebruiker 'zomaar' vanuit dat het veilig is , want het heeft immers 'slot' in het woord EN dat maakt het al veilig genoeg, duhhh;
Mediocrity, dat is wat er geleverd wordt door 'smart' fabrikanten met als doel de domme, naïeve gebruikert.
Het ontwikkeld zich langzaam (kat en muis spel), zwakheden worden gevonden en daar wordt weer een extra beveiliging omheen gebouwd zoals bv de autosleutel, eerst alleen maar een bepaalde frequentie door de lucht, nu met key rotation.
Als zo'n flipper er al 20 jaar geleden was geweest (commercieel en niet alleen voor de criminele hackert), dan had het ontwerp al vanaf de beginfase -bij het idee- al gemaakt kunnen worden met beveiligingen erin die flipper-bestendig zijn, ofwel moet een goed protocol.
Maar het lijkt wel of géén één van de digitale prutsers op die manier z'n nieuwe producten aanlevert, -van chrome to firefox, van linux tot windows, van apple tot android- overal zitten maar zeroday's in omdat het ontwerp al vanaf het begin niet werkelijk veilig wordt gemaakt. En dat wordt mede veroorzaakt door -voor deze tijd- de belangen af te wegen hoe veilig je een product 'wilt' maken, terwijl je er beter aan doet om je af te vragen hoe veilig 'kan' ik dit product maken zodat dit over 20 jaar ook nog als veilig wordt geacht. Maar nee, geen van deze fabrikanten willen dáár geld in investeren, het levert op lange termijn meer op om er zwakheden in te laten om dan met een nieuwe versie meer te kunnen verkopen.
_Pussycat_ @tweakert4plus17 december 2023 10:31
20 jaar geleden men dacht dat met rf signalen het al veilig genoeg is, maar er nu achter te komen dat alleen rf signalen niet afdoende zijn zonder degelijk protocol
Wie ("men") dacht dat dan?
En wie komt er nu ineens pas achter dat het niet klopt?
kodak @tweakert4plus17 december 2023 12:54
20 jaar geleden was ook al bekend dat apparatuur hoe dan ook limieten heeft om niet meer aan te kunnen dan de 'prutsers', eigenaren en afhankelijke gebruikers zouden willen. Net als dat denial of service voorkomen daarmee niet slechts een kwestie is van niet willen, dus ook niet als iemand weer volgende limieten kan bewijzen.
Blokker_1999
@sdziscool16 december 2023 13:11
En daarmee bewijst de tool zijn nut.
laptopleon @sdziscool16 december 2023 16:58
Ik vind dit vrij nutteloos, eerlijk gezegd. Het is niet dat hier nu een probleem mee wordt opgelost, behalve dan het probleem wat het apparaat zelf veroorzaakt. cc @The Zep Man

Je kunt nog steeds een sterke zender meenemen die op de gebruikte frequenties zoveel storing geeft, dat bluetooth totaal onbruikbaar wordt. Daar valt weinig tegen te doen in de trein etc, tenzij je in een aluminium folie tentje gaat zitten. Maar dan is WiFi / mobiel internet ook meteen weg. Dat ziet toch ook niemand als iets positiefs?
GertMenkel @laptopleon16 december 2023 18:07
Zo'n BLE-aanval kan ook gewoon met een appje of met een twee euro ESP32 gedaan worden. Het is zo'n simpele aanval dat ik me afvraag of dit nieuws was geweest als de Flipper Zero niet genoemd zou zijn. Dat ding kan veel complexere aanvallen doen die niet zo makakelijk zijn uit te voeren op consumentenapparatuur.

In tegenstelling tot jammen, is deze aanval eenvoudig te patchen zonder dat iemand functionaliteit hoeft te verliezen. Dit is geen onoverkomelimk natuurkundig fenomeen, dit is een softwareontwerpfout van een team dat vergeten was over rate limiting of opt-outs na te denken. Het probleem is dan ook opgelost in iOS.

Overigens is het uitvoeren van dit soort aanvallen op andermans apparatuur natuurlijk hartstikke illegaal. Voor die gozer in de treiin was de politie, of in elk geval de conducteur, informeren wel op zijn plaats geweest.
Rixard 16 december 2023 15:08
Ik legde een tijd geleden mijn telefoon op een bibliotheekboek en kwam er toen (per ongeluk) achter dat ik de RFID-tag in het boek kon beschrijven met m'n telefoon. Ik voegde een extra txt-veldje toe en zette daar 'test' in. Nadat ik dit had gedaan Kon ik het veldje niet meer weghalen en werd het geleende boek niet meer door de machine geaccepteerd bij het inleveren. Ik heb het boek toen gelukkig bij de balie kunnen inleveren.

Als ik kwaad zou willen, dan zou ik dus een Flipper-script kunnen maken die ik op een Flipper zet, in een rugzak doe en door de bibliotheek lopen. Dan is het mogelijk om geautomatiseerd aan elke tag in de bibliotheek een txt-veldje toe te voegen? Dan is dat hele systeem van de bibliotheek om zeep geholpen?

Lijkt me een best groot risico voor een bibliotheek.
logix147 @Rixard16 december 2023 15:14
Dit heb je overigens natuurlijk ook gemeld of anoniem via de site een berichtje achtergelaten met de hoe-wat-waar? ;-)
telenut @Rixard16 december 2023 15:48
Lol. Had net hetzelfde voor ;-)
Dit melden leek me zinloos... De vrouw aan de balie zou het nooit snappen.
Misbruik zal wel meevallen. Uiteindelijk is het gewoon vandalisme als je het opzettelijk zou doen.
Polydeukes @telenut16 december 2023 18:31
Er werken meer mensen bij een bibliotheek dan degene achter de uitleenbalie hé. Je kunt gewoon 't gesprek voeren, vragen of 'n collega van IT aanwezig is, bellen, mailen, 'n brief schrijven en waarschijnlijk ook nog faxen.
tweakert4plus @Polydeukes17 december 2023 10:28
Zou het de IT'r, die dat boek krijgt omdat de inschrijf-uitschrijf niet meer functioneert, het extra text veldje 'test' dan niet opmerken? En dan fronsend zou moeten afvragen de hoe en wat achter dat extra veld.
Dit is dus al een soort van anonieme melding, of het opgepakt wordt door de IT'r is de vraag en dan nog of deze werknemer het belagrijk genoeg acht dit te escaleren of er domweg weer het juiste profiel/format naar de rfid terugschrijft.
YopY @Rixard18 december 2023 10:08
Dat is inderdaad mogelijk; risico weet ik niet, eerder onhandig, maar het alternatief voor hun zou om duurdere RFID systemen te gebruiken. Of om terug naar het het ouderwetse, bewezen systeem van streepjescodes te gaan.

Persoonlijke mening: Niet klooien met de bibliotheken, ze zijn super waardevol voor de gemeenschap etc.
The Zep Man
16 december 2023 13:17
Dit is een klassiek geval van het vertrouwen van externe inputdata. Voor iOS 17.2 werd voor elk inkomend verzoek een popup getoond, in het vertrouwen dat één (niet geauthenticeerd) verzoek via Bluetooth één popup waard is. Een andere fout is dat iOS niet naar zichzelf keek, naar hoeveel pop-ups al geopend waren.

Een programmeerles die meer dan een halve eeuw oud is voor Apple: vertrouw nooit inputdata.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Bathing Aap @The Zep Man16 december 2023 14:00
Iets niet inbouwen is niet perse iets fout doen. Het KISS-principe is hier gewoon toegepast, wat al snel zo gaat in de huidige ontwikkelingsmethodieken.
The Zep Man
@Bathing Aap16 december 2023 14:57
Iets niet inbouwen is niet perse iets fout doen.
Wel als je voor een veilig product gaat en secure by design toepast:
Malicious attacks on software should be assumed to occur, and care is taken to minimize impact. Security vulnerabilities are anticipated, along with invalid user input.
supersnathan94
@The Zep Man16 december 2023 16:11
Invalid user input is alleen iets anders dan heel veel valide input.
The Zep Man
@supersnathan9416 december 2023 16:33
Invalid user input is alleen iets anders dan heel veel valide input.
Heel veel input is niet valide, omdat het buiten het gestelde doel van gebruik valt. Hoeveelheid input is ook een karakteristiek van input, en ook met afwijkingen daarvan moet rekening gehouden worden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

Bathing Aap @The Zep Man16 december 2023 23:44
"Hoeveelheid input is ook een karakteristiek van input, en ook met afwijkingen daarvan moet rekening gehouden worden." - oké prima, dat snap ik, maar dat is nu een eigen invulling van input in het algemeen en slaat niet op je dikgedrukte "along with invalid user input.". Je Wiki bron geeft daar dus geen kracht bij, daarom reageert @supersnathan94 zo. Een grijs gebeid dus, aangezien het in feite machine to machine communicatie is waarover we het nu hebben, een mens gaat dit nooit voor elkaar krijgen met een GUI (wat ik zie als traditioneel 'user input' - overigens is het begrip 'user input' ook redelijk ambigu, want waar trek je de grens, een scriptje kan iemand ook als user input zien, maar het lijkt me dat we hier echt over traditionele user input hebben, waar een Flipper al niks mee te maken heeft). In dit grijze gebied kan je 100en edge-cases verzinnen om een OS onderuit te halen.
Guru Evi @The Zep Man16 december 2023 19:09
Het is niet alsof er iets gelekt wordt of verkeerd gedaan. Het systeem wordt overspoeld met data, kan het niet afhandelen en herstart. Dat heb je evengoed op web servers en andere systemen en is in veel gevallen wel de juiste actie.

De patch is een rate limit die dus het systeem uitzet na een paar keer. Goed mogelijk dat je dan legitiem verkeer ook blokkeert, het is dus kiezen tussen twee slechte opties.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:12]

Frogmen 17 december 2023 15:14
Deze flipper gebruiken is gewoon strafbaar valt gewoon onder computervrede breuk etc. Als je het bewust gebruikt om een kwetsbaarheid aan te tonen kan het maar is wees er terughoudend in.
Je kan met een beetje oefening heel veel sloten openen toch mag het niet en staat er niemand te juichen als aangetoond wordt dat zijn voordeur geopend kan worden.
En het argument moeten ze het maar beter beveiliging gaat echt nergens over het moet in verhouding zijn. Het moet ook allemaal betaald worden, en uiteindelijk zijn we dat altijd weer kan via een omweg maar zo is het wel.
dutch_camel @Frogmen18 december 2023 09:36
Wat een rare reactie. De Flipper, of het gebruik ervan, is niet strafbaar in Nederland.
De Flipper is een van de meest innovatieve tools in jaren die een (ethical) hacker/pentester tot zijn beschikking heeft.
Er zijn alleen het afgelopen jaar al talloze kwetsbaarheden ontdekt door hackers die bijv hotelsystemen hebben doorgelicht (oa. mbt accesscards voor kamerdeuren).
De 'good guys' doen mede door de Flipper veel ontdekkingen, die soms bewust stil gehouden worden (leveranciers, overheden, etc) of stomweg nog niet ontdekt waren.
De Flipper heeft geleid tot verbeteringen aan producten. Simpel gezegd: Wanneer een ethical hacker iets (kwetsbaarheid) kan misbruiken, zal een kwaadwillende dat zeker een keer gaan doen. Met alle gevolgen van dien.
In jouw lijn van denken is Kali ook strafbaar, want ddos, sniffing etc mogelijkheden.
Frogmen @dutch_camel18 december 2023 10:00
Het is maar net hoe deze gebruikt worden, hem gebruiken om in de trein alle telefoons plat te leggen hoort daar zeker niet bij. Er ethisch mee omgaan vergt een hoge mate van verantwoordelijks gevoel. Dat je er een kaart mee kan klonen hoeft niet meteen te zeggen dat die kaart voor de toepassing slecht is.
Ik mis de afweging nogal vaak
dutch_camel @Frogmen18 december 2023 11:07
Dat is met alles zo. Een auto kan je ook misbruiken voor criminele doeleinden.
Je kan niet zo maar alles verbieden. De Flipper biedt veel kansen.
Apple bijvoorbeeld heeft nu dus een patch ontwikkeld naar aanleiding van de bevindingen.
Frogmen @dutch_camel18 december 2023 12:03
Beetje kip en het ei verhaal, als de flipper niet misbruikt zou worden was de patch niet nodig geweest. Uiteindelijk betaal je het als consument altijd.
echtwaar? @Frogmen19 december 2023 04:32
Dat gaat toch alleen op als de flipper de uitzondering is die dit kan?

Voor elke functie op de flipper is een veel sterkere variant beschikbaar.

https://www.sparkfun.com/products/14066

https://nl.mouser.com/Pro...EuMTcwMjk1NjY3Mi41Ny4wLjA.
dasiro 16 december 2023 14:02
waarom de brave beschrijving van de flipper? Mensen hier zijn echt niet dom. Net zoals bittorrent niet langer "een protocol is om gratis opensource bestanden te delen" dekt de terminologie de lading al lang niet meer en mag je het gerust "een hacktool om draadloze aanvallen mee uit te voeren" noemen.
eelkef @dasiro16 december 2023 14:18
Wat een tool kan staat los van hoe je hem gebruikt. Zoals BitTorrent een protocol is om online bestanden te delen, is de Flipper een tool om onder andere draadloze signalen te ontvangen en te versturen.

Hoe je iets gebruikt maakt de gebruiker fout. Zoals een inbreker een schroevendraaier of breekijzer gebruikt. Zo ook de Flipper, handig om beveiliging te testen, of een kopietje te maken van je milieupas ofzo. Maar sommige mensen gebruiken het voor verkeerde doeleinden.
dasiro @eelkef16 december 2023 14:20
met dat verschil dat 99% van de schroevendraaiers niet gebruikt worden om in te breken, terwijl het oneigenlijk gebruik van een flipper eerder een omgekeerde verhouding heeft.
eelkef @dasiro16 december 2023 14:35
Dan toch blijft het de gebruiker die het verkeerd doet.
De tool is bruikbaar voor goede dingen, zoals onderzoekers die de Flipper gebruiken om kwetsbaarheden te vinden en aantoonbaar te maken. Juist de laagdrempeligheid van de Flipper zorgt er voor dat een probleem mogelijk sneller opgelost wordt, omdat een bedrijf zich niet kan verschuilen achter "Je hebt speciale tools nodig om de kwetsbaarheid te misbruiken".

Ik heb er zelf een en ken ook anderen die het juist op die manier gebruiken. Mijn beeld van de Flipper is dus anders, maar er zijn mensen die het gebruiken waarvoor het niet bedoeld is. Maar is dat dan het probleem van de Flipper? Als ze er hele andere firmware op zetten om dit überhaupt te kunnen doen?
The Zep Man
@eelkef16 december 2023 15:06
Maar is dat dan het probleem van de Flipper? Als ze er hele andere firmware op zetten om dit überhaupt te kunnen doen?
Het is ook niet het probleem van de hele andere firmware. Sommige zaken kunnen juist enkel onderzocht en aangetoond worden met andere firmware.
analog_ @The Zep Man17 december 2023 17:51
je koopt dat ding niet voor de stock
firmware
Nyarlathotep @dasiro16 december 2023 14:34
Omdat het ding bedacht is als een tool.
Voor auto's, keukenmessen en kettingzagen gebruiken we toch ook geen termen als 'platrijders', 'doodsnijders' en 'mootjeshakkers'?
The Zep Man
@dasiro16 december 2023 14:03
waarom de brave beschrijving van de flipper? Mensen hier zijn echt niet dom. Net zoals bittorrent niet langer "een protocol is om gratis opensource bestanden te delen"
BitTorrent is een protocol om ook opensource programmatuur mee te delen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

dasiro @The Zep Man16 december 2023 14:18
daarom dat de terminologie de lading niet meer dekt. Net zoals radarverklikkers niet gebruikt worden om "op gevaarlijke punten te waarschuwen" of cryptotelefoons "om ervoor te zorgen dat niemand kan meeluisteren dat je tegen je grootmoeder zegt dat je haar mist". De Amerikanen hebben er een gezegde voor: the duck-test "if it looks like a duck swims like a duck and quacks like a duck then it probably is a duck".
The Zep Man
@dasiro16 december 2023 15:00
De Amerikanen hebben er een gezegde voor: the duck-test "if it looks like a duck swims like a duck and quacks like a duck then it probably is a duck".
Laat het nu net Amerikanen zijn die geloven in vrijheid van gereedschappen, tot vuurwapens aan toe. Dit terwijl een vuurwapen beperkter is in legitieme doelen t.o.v. een Flipper Zero.
tedades @The Zep Man16 december 2023 18:34
Zo zal een amerikaan dat mogelijk niet zien, behalve als je een Flipper Zero het label 'wapen' op kunt plakken. Dat heeft te maken met het idee dat de overheid er voor het volk is en niet andersom.
Ze geloven in vrijheid van de mens. En ze vonden dat de overheid kan die vrijheid kan beperken. Dus ze hebben een grondwet gemaakt waarin staat beschreven hoe het volk deze vrijheden kan beschermen tegen de invloeden van de overheid. Een 'wapen' is dus volgens hun fundamenteel voor het behouden van je vrijheid.

Hun grondwet in het kort (waar je kunt zien dat deze best anti-overheidachtig klinkt):
1: Vrijheid van: godsdienst, spraak (/meningsuiting), pers, bijeenkomsten en petities
2: Recht op: het houden van wapens
* Het idee is dat het verschil in 'kracht' tussen mensen en overheid verdwijnt als je een wapen hebt, omdat iedereen even 'sterk' is. Gebaseerd op het idee dat deze 'kracht' een afschrikkende werking heeft, maar mocht het er toe komen je deze wapens ook echt kun inzetten.
3: Bescherming tegen het stationeren van overheidstroepen in iemands huis
4: Bescherming tegen ongerechtvaardigd doorzoeken en inbeslagname
5: Recht op: een eerlijk proces, geen dubbele aanklachten of zelfbeschuldiging, bescherming tegen inbeslagname privé eigendommen zonder eerlijke compensatie
6: Recht op: een snelle rechtszaak met jury van gelijken, de hoogte te worden gesteld van een aanklacht en getuigen te confronteren, en juridische vertegenwoordiging
7: Recht op juryrechtspraak in civiele zaken
8: Bescherming tegen een buitensporige borgtocht, boetes en wrede straffen
9: Niet-opgesomde rechten: de lijst van rechten in de grondwet is niet uitputtend, mensen behouden alle rechten die niet expliciet zijn vermeld
10: Bevoegdheden voorbehouden aan staten of mensen, deze beperkt de overheid tot de dingen die ze mogen doen en rest komt te liggen bij de staat of de inwoner

Een iPhone laten crashen, door berichtjes via een Flipper Zero te sturen, is dus waarschijnlijk een minder legitiem doel voor (een deel van de) amerikanen dan je vrijheden beschermen.

Daarnaast ben ik van mening dat beveiliging een drempel is: je moet tijd en moeite erin stoppen om over die drempel te komen, maar het is mogelijk. Het idee is hier natuurlijk dat je teveel tijd en moeite erin moet stoppen waardoor je het niet doet.
Het zou lastig moeten zijn om een willekeurige iPhone te laten crashen. Zodra een kind te makkelijk (met een Flipper Zero bijvoorbeeld) op afstand jouw telefoon kan laten vastlopen is de beveiliging niet goed en zal deze verbeterd moeten worden. En dit heeft Apple gelukkig ook gedaan.
Zo heeft praktisch iedereen nog een slot op zijn deur waarvoor een fysieke sleutel nodig is. Zodra een kind met een goedkoop speeltje (lock-pick gun, bump key, etc) die deur in een paar seconden kan open (en dan je dure spulletjes steelt) zal iedereen gok ik overstappen naar iets veiligers. Vanzelfsprekend is diefstal al strafbaar, en mag dit al niet, maar een verzekering zal niks betalen als jij je eigendom niet goed beveiligd (zie die hippe e-bikes bijvoorbeeld). Ergens is er dus wel een verwachting dat fabrikanten hun beveiliging op orde hebben.
DjCoke @tedades17 december 2023 08:48
De uitleg van de 2nd amendment is de uitleg van de wapenlobby. Overal in de grondwet staat dat insurrection en treason verboden is. Derhalve het idee dat de wapens gebruikt mag worden tegen de overheid is niet echt goed onderbouwd. Dat was ook niet echt logisch dat de founders dit zouden toelaten. Congreslid Radclif is een staatsrechtgeleerde geloof ik en die legt het op YouTube echt goed uit. Beter dan ik hier doe.
tedades @DjCoke17 december 2023 10:58
Het document is opgesteld om meerdere staten samen te kunnen laten werken als de 'united states'. De overheid in dit geval is de federale overheid (witte huis).
Iedere staat mag zijn eigen groep mensen regelen voor het beveiligen van hun staat. Deze mensen mogen wapens bezitten.
Er staat nergens dat het legaal is je overheid omver te werpen, in de 'constitution' staan voornamelijk afspraken over welke rechten en plichten je hebt.
De volledige tekst kun je hier vinden: https://uscode.house.gov/static/constitution.pdf
DjCoke @tedades17 december 2023 22:34
Zoek eens op dat document op insu (van insurection) of op treason, en dan zie je wat ik bedoel. De tekst zegt en ademt duidelijk, dat het niet de bedoeling is om de wapens te richten tegen de overheid "We the people". Het idee dat je de wapens mag richten tegen de machtige overheid of deze in check te houden is echt een uitleg die de wapenlobby goed uitkomt. Want dan zou je deze rechten niet mogen beperken en mag er dus alles verkocht worden, waaronder machinegeweren, enz..

Echter, de militia waren juist burgers die wapens droegen om dorpen, steden en vervolgens Staten te beschermen. Destijds ook nog eens simpele wapens. Maar juist niet inzetbaar tegen de Federale overheid, aldus de founders. Als je enkel de uitleg hanteert dat de Militia wapens mag hebben om zich te beschermen, dan zeg ik ja, dat klopt. Maar is het om de overheid 'in check' te houden wat impliceert dat zij 'te ver' zouden kunnen gaan voor de Militia, en dus dat zij ongebreideld wapens mogen hebben om de sterkte in 'check' te houden met de Federale overheid is onjuist.

Maar goed, dat is een eeuwige twist daar in de VS en dus dit is een juridische stroming die ik ventileer, die misschien niet wordt overgenomen door de US Supreme Court. Er lopen een aantal zaken op dit moment, waaronder de 3D-printwapens. Onlangs is in ieder geval de ATF's bevoegdheid om te reguleren van deze wapens in stand gelaten. Wat een grote overwinning is van de beperkende visie van de 2nd amendment.

[Reactie gewijzigd door DjCoke op 22 juli 2024 15:12]

tedades @DjCoke18 december 2023 23:53
Als er iets te betwisten valt is het zeker de interpretatie van dit soort teksten. Als ik zoek op insurrection en treason vind ik voornamelijk rechten en plichten van rollen binnen de overheid. Dat deze niet toegestaan zijn was waarschijnlijk al evident uit het gebruik van het woord zelf. Maar wat ik ook nergens expliciet terug vind is dat je wapens mag gebruiken om jezelf te verdedigen, dat is allemaal interpretatie uit de gehele collectie van rechten en wetten.

Wat je uit dit soort teksten kan halen (niet specifiek de 'constitution') is dat een wapen voor persoonlijke bescherming grotendeels geoorloofd is. Maar dit komt ook met plichten en beperkingen. De overheid heeft het recht om wapens te reguleren en een plicht om de bevolking te beschermen. Ook om het volk te beschermen tegen het onrechtmatig omverwerpen van een verkozen overheid. Dus er is altijd een balans tussen zelfbescherming, bescherming van de staat en de beveiliging van de Verenigde Staten.
Mocht de overheid ooit zich tegen de (bepaalde) staten en het volk keren, en alle normale routes al geprobeerd zijn om dit op te lossen, dan heeft de staat en het volk de optie om zich tegen een overheid te verdedigen. Hoewel die optie mogelijk 200 jaar geleden meer zin had dan nu. Persoonlijk vind ik dat de VS best de houding heeft dat je ze niet moet bedreigen, want ze kunnen forse klappen uitdelen. En die houding gaat over naar de staten en individuen, hoewel de mate waarin nogal per staat verschilt.

Mijn initiële punt was: mocht je een enquête houden onder alle amerikanen wat meer nut heeft 'een wapen of een Flipper Zero'; dan gok ik dat wapens winnen. Als reactie hierop:
Dit terwijl een vuurwapen beperkter is in legitieme doelen t.o.v. een Flipper Zero.
Met een referentie naar hun 'constitution' en verwijzingen naar 'we the people' en de '2nd ammendment' als legitieme doelen die een amerikaan zou kunnen aanhalen hiervoor.
lenwar
@The Zep Man16 december 2023 17:50
Net zoals http, https, ftp, smtp, enz.
Dat is een veel te generieke niet dekkende beschrijving.

Zo komt het neer op: Een auto is een apparaat waarmee je ook groenten kan vervoeren.
DigitalExorcist @dasiro16 december 2023 14:33
Met een hamer kan je ook iemand de hersens inslaan..
Jeoh 16 december 2023 13:59
Dit soort aanvallen hebben niet alleen effect op iPhones, maar ook op medische devices: https://twitter.com/morga...tatus/1730655861029114330
The Zep Man
@Jeoh16 december 2023 14:02
Dit soort aanvallen hebben niet alleen effect op iPhones, maar ook op medische devices:
Het effect was volgens die reactie op de Android smartphone, en via die weg indirect op het medisch apparaat.

Naar dat dat is misbruikt. Heeft het slachtoffer de fabrikanten van de smartphone en van het medisch apparaat op de hoogte gebracht van de kwetsbaarheid? Hoe hebben die fabrikanten daarop gereageerd? Wat heeft het slachtoffer met die reacties gedaan?

Het misbruik is naar en zou niet moeten gebeuren. Pogingen kunnen helaas niet voorkomen worden, waardoor het verstandig is om smartphones en medische apparatuur beter te beschermen. Een startpunt zou zijn om gebruik van Bluetooth voor medisch kritische zaken te heroverwegen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

SirBlade @The Zep Man16 december 2023 15:02
Stoppen met Bluetooth lost het probleem niet op. Geimplanteerde apparaten kan je moeilijk via een kabel aansluiten en het formaat van die apparaten betekend ook allerlei limiten met betrekking tot het soort signalen dat het kan verwerken of hoe snel de "processor" kan zijn.
The Zep Man
@SirBlade16 december 2023 15:04
Stoppen met Bluetooth lost het probleem niet op.
Als je geen Bluetooth gebruikt, kan niets via Bluetooth misbruikt worden. Dat kan je in theorie over van alles zeggen, maar het fundament van Bluetooth is nooit opgezet met veiligheid in het achterhoofd, en de verschillende implementaties vaak ook niet.
Geimplanteerde apparaten kan je moeilijk via een kabel aansluiten en het formaat van die apparaten betekend ook allerlei limiten met betrekking tot het soort signalen dat het kan verwerken of hoe snel de "processor" kan zijn.
Dat de huidige apparaten Bluetooth gebruiken, houdt niet in dat toekomstige apparaten ook Bluetooth hoeven te gebruiken.
WhatsappHack
@Jeoh16 december 2023 15:38
Vooropgesteld: dat je je telefoon gebruikt als controller kwalificeert het niet direct als een medisch device; enkel dat het als zodanig gebruikt wordt - en daar vind ik zelf toch wel verschil inzitten. (Dat ik op mijn iPhone software sideload die, met reverse engineered libraries, medische apparatuur aanstuurt maakt mijn iPhone niet per definitie medische apparatuur. Dat moet je als gebruiker imho wel goed beseffen en maatregelen op nemen.) Dat is ook een van de problematische vraagstukken bij het loslaten van handhelds en fysieke knoppen op pompen en volledig overgaan op smartphone controls waar fabrikanten het heel lastig mee hebben; onder meer vanwege dit soort problematiek (en dat kan ook gewoon een andere app op de telefoon zijn die iets doet dat problemen veroorzaakt. Moeten allerlei guardrails voor ingebouwd worden en de patient moet er op getraind worden.).

Los daarvan inderdaad wel heel kwalijk dat mensen hier totaal niet bij stilstaan als ze gaan fucken op publieke plekken. Mensen snappen niet dat dit niet enkel smartphones kan laten crashen, maar ook daadwerkelijke medische apparatuur. De Omnipod Dash controller is volgens mij ook gewoon een Android device met wat custom aanpassingen. Zou wel interessant zijn om te kijken hoe bestand die is tegen dit speeltje, want dát is wel een one-purpose medisch apparaat.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 15:12]

sfjuocekr @WhatsappHack17 december 2023 09:27
Je kunt niet bij voorbaat alles dichten, uiteindelijk als je radios gebruikt deel je de lucht met iedereen en kan iedereen je signaal ontvangen.
Roel1966 16 december 2023 23:55
Eerlijk gezegd begrijp ik dit soort hacktools totaal niet want wat is er nou leuk aan om dan een ander zijn smartphone te laten crashen. Nu zal dat op mijn smartphone ook moeilijk gaan om hem via bluetooth te laten crashen omdat ik bluetooth alijd uitschakel. Althans wanneer ik geen bluetooth gebruik staat die bij mij altijd uit vooral ook voor het besparen van de accu.
sfjuocekr @Roel196617 december 2023 09:24
Er is nog veel meer mogelijk, het gaat ook om het ontdekken van zwaktes in protocollen en daar leer je weer van.
MrMonkE @sfjuocekr17 december 2023 11:32
voor een selecte groep.
De rest download alle creaties van die selecte groep gebruikers/
Roel1966 @sfjuocekr17 december 2023 19:15
Zeker, zal ook niet zeggen dat ik per definitie alle hackers veroordeel want er zitten er ook genoeg bij die het puur en alleen doen om z.n. lekken in protocollen te ontdekken. Maar ik doel dan meer op de amateur hackertjes die er een sport in zien om dan anderen te pesten.
echtwaar? @Roel196619 december 2023 04:47
Die groep is volgens mij absurd klein, nog nooit gehoord over actief mensen pesten met hacks. Of je moet de tv uit doen als je langs loopt eronder verstaan, maar dst zijn toch meestal kinderen.
Piemol @Roel196618 december 2023 08:28
Voor 'boefjes' heeft het vaak wel meerwaarde om communicatie plat te kunnen leggen. In dit ge al gaat het om bluetooth, maar stel dat je ook wifi verstoord en bepaalde radio frequenties kan je minuten voorsprong op security pakken.
Roel1966 @Piemol18 december 2023 18:29
maar stel dat je ook wifi verstoord en bepaalde radio frequenties kan je minuten voorsprong op security pakken.
Ja daar kan ik mij wel iets bij voorstellen voor beveiliging maar weer niet voor smartphones van gewone prive personen. Dat lijkt mij meer het werk van amateur hackertjes die er sport aan hebben anderen gewoon te pesten.
echtwaar? @Piemol19 december 2023 04:37
Dan heb je een krachtigere zender nodig, maar die zijn gewoon vrij te koop.
MrMonkE 17 december 2023 08:37
Alle bussen en treinen zouden standaard dit soort flippers moeten hebben?
Onthaasten.
sfjuocekr 17 december 2023 09:21
Ik zat in de trein.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq