1 puntos por GN⁺ 2024-01-22 | 2 comentarios | Compartir por WhatsApp
  • Flipper Zero es una multiherramienta que permite a pentesters y entusiastas de la exploración de hardware trabajar con protocolos inalámbricos, control de acceso, RFID·NFC y depuración por GPIO en un solo dispositivo portátil
  • Al estar basado en código abierto, se puede personalizar y ejecutar funciones clave sin PC ni smartphone, solo con su pad direccional de 5 botones y su LCD monocromático de 1.4 pulgadas y 128x64
  • Ofrece amplio soporte para Sub-1 GHz, RFID de 125 kHz, NFC de 13.56 MHz, BLE, infrarrojo, iButton y GPIO, y su alcance de transmisión/recepción Sub-1 GHz basado en CC1101 llega hasta 50 m
  • En la MicroSD almacena códigos remotos, bases de datos de señales, diccionarios, recursos de imagen y logs, y soporta FAT12·FAT16·FAT32·exFAT y tarjetas de hasta 256 GB
  • También puede usarse como equipo portátil de experimentación de hardware, ya que integra control GPIO, adaptador USB para UART·SPI·I2C, SPI Flash Programmer, AVR ISP Programmer, OpenDAP e incluso herramientas de fuzzing

Concepto básico de Flipper Zero

  • Flipper Zero es un dispositivo multiherramienta portátil para pentesters y usuarios geeks
  • Está diseñado para interactuar con sistemas digitales como protocolos inalámbricos, sistemas de control de acceso y hardware
  • La unidad es completamente de código abierto y el usuario puede ampliarla como quiera
  • Es un pequeño hardware con personalidad de “delfín cibernético”, con el concepto de ser un dispositivo que crece cuanto más se usa
  • Su objetivo es reunir en un solo dispositivo las herramientas de hardware necesarias para explorar y desarrollar sobre la marcha
  • Está inspirado en el proyecto pwnagotchi, pero para facilitar el uso cotidiano incorpora una carcasa resistente, botones y una forma cómoda de sostener

Operación autónoma y composición del dispositivo

  • Se puede acceder a las funciones principales desde el Main Menu, y controlarlas con el pad direccional de 5 botones sin necesidad de una computadora o smartphone
  • Componentes del dispositivo:
    • LCD monocromático de 1.4 pulgadas
    • Resolución de 128x64 px
    • Pantalla de ultra bajo consumo, legible incluso bajo la luz del sol
    • Pad direccional de 5 botones
    • Botón Back
    • LED de estado
  • Al conectarlo por USB y Bluetooth se obtiene un mayor nivel de control
  • Interfaces externas y hardware:
    • USB Type-C: alimentación, carga y actualización de firmware
    • Ranura para tarjeta MicroSD
    • Lazo para correa
    • Pines GPIO: lógica de 3.3V, entradas tolerantes a 5V
    • Transceptor infrarrojo
    • Pines pogo de 1-Wire

Funciones inalámbricas Sub-1 GHz

  • La banda Sub-1 GHz se usa en dispositivos inalámbricos y sistemas de control de acceso como controles de puertas de garaje, barreras, sensores IoT y sistemas remotos keyless
  • Al instalar apps adicionales, puede ampliarse para leer datos de varios dispositivos, como equipos de observación meteorológica
  • Integra una antena multibanda y el chip CC1101, y funciona como transceptor con un alcance de hasta 50 m
  • Algunos casos de uso son enchufes y focos inteligentes, sensores IoT y timbres, además de puertas de garaje y barreras
  • El CC1101 es un transceptor de propósito general para aplicaciones inalámbricas de bajo consumo
    • Soporta 2-FSK, 4-FSK, GFSK y MSK
    • También soporta OOK y ASK con conformación flexible
    • Las aplicaciones pueden realizar comunicación digital, como conexión con dispositivos IoT y sistemas de control de acceso

RFID y NFC

  • RFID de 125 kHz es un tipo de tarjeta de proximidad de baja frecuencia ampliamente usado en sistemas antiguos de control de acceso en todo el mundo
  • Este tipo solo almacena un ID de N bytes y no tiene mecanismos de autenticación, por lo que puede leerse, clonarse y emularse
  • Con la antena de 125 kHz en la parte inferior de Flipper Zero se pueden leer tarjetas de proximidad de baja frecuencia, guardarlas en memoria y emularlas después
  • También se puede introducir manualmente el ID de una tarjeta para emularla, y los usuarios de Flipper Zero pueden compartir remotamente esos IDs entre sí
  • El módulo NFC integrado opera a 13.56 MHz
    • Junto con el módulo RFID de 125 kHz, puede actuar como dispositivo RFID tanto en baja frecuencia (LF) como en alta frecuencia (HF)
    • Soporta los principales estándares
    • Puede interactuar con dispositivos compatibles con NFC y leer, escribir y emular etiquetas HF

Bluetooth y app móvil

  • Soporta completamente Bluetooth Low Energy, por lo que Flipper Zero puede funcionar como periférico
  • Se puede conectar Flipper Zero a dispositivos de terceros y a smartphones
  • Las apps para iOS y Android ofrecen las siguientes funciones
    • Actualización de Flipper Zero por BLE
    • Control remoto
    • Compartir llaves
    • Gestión de datos en una pantalla más grande

Transmisión y recepción por infrarrojo

  • El transmisor infrarrojo puede enviar señales para controlar equipos electrónicos como televisores, aires acondicionados y sistemas estéreo
  • Flipper Zero incluye una biblioteca integrada de señales para marcas comunes de TV, aire acondicionado, proyector y sistemas estéreo
  • Esta biblioteca se actualiza regularmente gracias a los aportes de la comunidad de Flipper Zero a la base de datos IR Remote
  • También ofrece función de aprendizaje infrarrojo
    • Con el receptor infrarrojo se pueden capturar señales de controles remotos existentes y guardarlas en la biblioteca
    • Las señales guardadas pueden usarse después para enviar comandos
    • Se pueden añadir a la base de datos pública de IR Remote para compartirlas con otros usuarios de Flipper Zero

Almacenamiento MicroSD

  • Flipper Zero necesita almacenar diversos datos, como códigos remotos, bases de datos de señales, diccionarios, recursos de imagen y logs
  • Todos los datos se guardan en la tarjeta MicroSD
  • La ranura MicroSD usa un conector push-push para que la tarjeta no sobresalga y quede fija dentro del dispositivo
  • Sistemas de archivos compatibles:
    • FAT12
    • FAT16
    • FAT32
    • exFAT
  • Soporta tarjetas microSD de hasta 256 GB, aunque se recomienda usar tarjetas de 2 a 32 GB

Exploración y depuración de hardware

  • Flipper Zero puede usarse como herramienta para exploración de hardware, flasheo de firmware, depuración y fuzzing
  • Se puede conectar al hardware por GPIO, controlarlo con botones, ejecutar código propio y mostrar mensajes de depuración en la LCD
  • Puede usarse para UART, SPI, I2C y más, como un adaptador USB común
  • Uso autónomo:
    • Incluye pines de alimentación de 5V y 3.3V
    • Se puede controlar con los botones y la pantalla integrados
    • No requiere PC
  • Herramientas de flasheo y depuración:
    • SPI Flash Programmer
    • AVR ISP Programmer
    • OpenDAP
  • También puede probar protocolos y señales como herramienta de fuzzing

iButton y llaves 1-Wire

  • Flipper Zero integra un conector 1-Wire para leer llaves de contacto iButton
  • Esta tecnología antigua sigue siendo ampliamente usada en todo el mundo
  • El protocolo 1-Wire no tiene autenticación
  • Flipper Zero puede leer llaves, guardar su ID en memoria, escribir el ID en una llave en blanco y emular la propia llave
  • El pad de contacto iButton tiene una forma particular que funciona tanto como lector como sonda para conectar sockets iButton

Especificaciones de hardware

  • MCU:
    • Modelo: STM32WB55RG
    • Procesador de aplicación: ARM Cortex-M4 32-bit 64 MHz
    • Procesador inalámbrico: ARM Cortex-M0+ 32-bit 32 MHz
    • Inalámbrico: Bluetooth LE 5.4, 802.15.4, proprietary
    • Flash: 1024KB
    • SRAM: 256KB
  • Pantalla:
    • LCD monocromática
    • 128x64 px
    • Controlador ST7567
    • Interfaz SPI
    • 1.4 pulgadas
  • Batería:
    • LiPo 2100mAh
    • Hasta 28 días de duración de batería
  • Módulo Sub-1 GHz:
    • Transceptor: CC1101
    • TX Power: -20 dBm max
    • Las bandas de frecuencia son 315 MHz, 433 MHz, 868 MHz y 915 MHz según la región
  • Infrarrojo:
    • Longitud de onda RX: 950 nm ±100nm
    • Portadora RX: 38 KHz ±5%
    • Longitud de onda TX: 940 nm
    • Portadora TX: 0~2 MHz
    • Salida TX: 300 mW
    • Protocolos compatibles: NEC family, Kaseikyo, RCA, RC5, RC6, Samsung, SIRC
  • GPIO:
    • 13 pines de E/S de usuario en un conector externo de 2.54 mm
    • Nivel CMOS de 3.3V
    • Entradas tolerantes a 5V
    • Máximo de 20 mA por pin digital
  • Dispositivo:
    • Tamaño: 100x40x25 mm
    • Peso: 102g
    • Materiales: PC, ABS, PMMA
    • Temperatura de operación: 0~40°C

2 comentarios

 
xguru 2024-01-22

Yo lo pedí en Kickstarter cuando salió al principio, y por desgracia en Corea hay bastantes cosas que no se pueden por la ley de telecomunicaciones, así que tiene ciertas limitaciones. Al principio ni siquiera funcionaba, y ahora da un poco de lata tener que instalar aparte un firmware para desbloquearlo, así que jugué un rato con él y luego lo dejé guardado por ahí T_T

 
GN⁺ 2024-01-22
Opiniones de Hacker News
  • Compré un Flipper Zero poco después de su lanzamiento oficial y lo he usado bastante; como trabajo en ciberseguridad, probablemente tengo más usos prácticos que una persona común.
    Mi uso favorito es como control remoto para reemplazar el IR blaster que desapareció de los celulares, y hasta ahora me ha evitado dos veces tener que comprar o buscar un control remoto nuevo.
    Algo que la gente no suele saber es que, si le instalas firmware personalizado [0], puede recibir y transmitir en una amplia banda de frecuencias por debajo de 1 GHz.
    Muchos dispositivos como puertas de garaje, portones y controles de ventiladores usan mucho esa banda y suelen tener seguridad débil, así que creo que en el futuro recordaremos esta época como el momento en que se podía interactuar con esos dispositivos sin un transmisor PCB aparte ni un SDR caro y complejo.
    [0] https://github.com/DarkFlippers/unleashed-firmware

    • Creo que la expresión “SDR caro y complejo” ya no es tan precisa como antes.
      En hardware hay muchísimas opciones muy baratas, y el chip que usa el Flipper probablemente sea un chip popular y económico parecido al c1100, bien documentado y fácil de conectar con Arduino.
      En una línea más accesible, el LimeSDR Mini también es barato y hay bastantes alternativas.
      Del lado del software, GNU Radio es gratis y tiene tutoriales decentes; sí, es un campo complejo, pero la barrera de entrada no está al nivel de Blender.
      Para algo todavía más sencillo, urh es increíblemente potente para lo usable que es https://github.com/jopohl/urh
      Usé urh para analizar un termómetro inalámbrico de barbacoa de 2 canales con un RTL-SDR de 10 dólares y fue muy fácil; comparado con cuando hice ingeniería inversa de un sistema de telemetría FlySky, fue como dar un paseo.
    • Hace unos días se agotaron las pilas del control remoto de la TV del dormitorio y, al intentar cambiarlas, descubrí que una había derramado líquido y corroído los contactos.
      Hasta que lo limpie, estoy usando el Flipper Zero como control remoto de la TV; solo necesito controlar encendido y volumen, y el resto lo maneja el Roku stick, así que encaja perfecto.
      No imaginé que lo terminaría usando así.
    • Dicen que “los celulares ya no tienen IR blaster”, pero todavía hay bastantes celulares con IR blaster [0].
      Yo también tengo mi celular configurado para controlar todos los dispositivos de la casa.
      [0] https://www.gsmarena.com/results.php3?nYearMin=2023&chkInfrared=selected
    • Se dijo que puertas de garaje, portones, controles de ventiladores, etc., usan mucho esa banda y tienen seguridad débil, pero no sabía que https://en.wikipedia.org/wiki/Rolling_code no fuera lo suficientemente seguro.
      Pensaba que la entrada sin llave de la mayoría de los vehículos modernos también se basaba en este código variable.
      Es difícil que el Flipper Zero no parezca una herramienta de script kiddie para hacer cosas tremendamente ilegales, como abrir el garaje del vecino.
    • Un amigo me regaló uno y me está costando encontrarle usos útiles.
      En particular, como hace poco perdí el control remoto del Roku, la idea de usarlo como control remoto suena genial; me gustaría tener algún material de referencia.
      La documentación que he visto hasta ahora está dispersa, y da la fuerte impresión de que la gente tiene miedo de que, si publica recursos, la vinculen con actividades ilegales.
  • Mi hijo fue arrestado por usar esto en un club de hacking de la preparatoria.
    Según los testigos, se lo estaba mostrando a los chicos del club, y todos pensaban que solo se estaban apagando los celulares Apple dentro del salón.
    Pero al parecer también se apagaron varios celulares de profesores en salones contiguos; la policía llegó a la escuela y lo arrestó, y nos están amenazando con cargos federales.
    Hasta ejecutaron una orden de allanamiento en nuestra casa y se llevaron todos los dispositivos electrónicos; como mínimo, fue algo bastante traumático.

    • Es lamentable, pero por razones legales creo que sería mejor no publicar más sobre este asunto.
      Desde el punto de vista de otros lectores, da curiosidad saber cuál es la jurisdicción.
      La app específica que puede apagar iPhones probablemente requiere el firmware unleashed.
      Legalmente, si haces un ataque de denegación de servicio contra celulares, creas el riesgo de impedir que alguien contacte servicios de emergencia; si es en EE. UU., es más probable que esa sea la base de la acusación que una multa de la FCC por usar bandas de frecuencia bloqueadas.
    • En San Francisco, la gente roba autos y saquea tiendas y ni siquiera la arrestan, pero a los chicos interesados en la electrónica los procesan como grandes criminales.
      Me recuerda a la chica a la que le gustaba la química y terminó acusada de terrorismo [0].
      [0]: https://www.youtube.com/watch?v=kBhMTXnw6xU
    • Los profesores también son raros, y la policía está demente por exagerar arrestando a chicos mientras los delincuentes reales andan afuera cometiendo delitos.
    • Me parece realmente excesivo llamar a la policía por algo que fue, como mucho, una estupidez de un chico en la que nadie salió herido.
      A los 12 años hice “hacks” peores, pero el castigo fue simplemente que me prohibieron el acceso a todos los dispositivos electrónicos, salvo ver TV durante el almuerzo y la cena.
    • Como alguien que en 2003, cuando acababa de cumplir 17 años y estaba en la preparatoria, tenía dos condenas y media por delito grave de intrusión informática, lo entiendo.
      Por supuesto, la historia completa es más larga, pero fue un caso en el que nadie sabía cómo manejar la situación y terminó en “¡hay que hacer algo!”.
      Es como la frase del gobernador William J La Petomane en Blazing Saddles de Mel Brooks: “¡Caballeros, debemos proteger nuestros empleos falsos!”
  • Es un dispositivo realmente divertido, como un juguete, pero el canal de Discord es… bastante malo
    Una cosa genial es que puedes comunicarte con él por comunicación serial; lo conecté con un sensor de temperatura IoT y armé rápidamente algo para que enviara comandos al ventilador de techo según la temperatura de la oficina
    También llegué a capturar el código NFC de una tarjeta de hotel y usarlo para entrar a la habitación después de que la llave inevitablemente se “dañara” cerca de otro campo electromagnético
    La parte tipo Tamagotchi con el delfín me parece un poco ridícula y no me aporta valor, pero entiendo que para alguien pueda ser atractiva
    Varias instituciones también están empezando a reconocer cada vez más la flexibilidad de este dispositivo, y hay historias no confirmadas de que lo han confiscado en controles de la TSA
    Escribir tus propias apps tiene una curva de aprendizaje bastante alta

    • El juego del delfín sirve para clasificarlo como juguete y así evitar algunas restricciones de importación y exportación
      En realidad también es un juguete, y no es equipo profesional
    • El servidor de Discord es terrible
      Está lleno de niños y, al mismo tiempo, está moderado de forma raramente estricta
      Aun así, el dispositivo en sí es excelente y tiene mucho aire a Pebble, en el buen sentido
      Es bueno para hackear y, aunque no hagas pruebas de penetración agresivas, en general es un dispositivo divertido
    • El delfín me molestó desde el principio, pero los assets gráficos son archivos simples que se encuentran fácilmente dentro del firmware, así que parece bastante fácil cambiar el aspecto y la experiencia de uso por algo que no se sienta como jugar con un amigo delfín
    • Un amigo tiene un hijo de 3 años, y ese “delfín” se usa constantemente en manos del niño
      Es algo como: “¿Qué está haciendo ahora?”, “Veamos con qué está jugando hoy el delfín”, “¿Qué dice?”, “¿Me extraña?”, “Juguemos juntos”
      Rápidamente se volvió amigo del niño, y ahora dicen que está entre sus 5 juguetes favoritos
  • Antes, cuando se supo que cualquiera podía escuchar llamadas de teléfonos inalámbricos y de los primeros celulares con solo tener un escáner policial avanzado, los fabricantes no tuvieron más remedio que meterles al menos un mínimo de seguridad a esos dispositivos
    Espero que esto también haga que más fabricantes pasen de códigos simples y menos seguros de captura y reproducción a algoritmos de código variable como los de los llaveros de autos

    • Me pregunto si realmente fue así
      Según recuerdo, el resultado más importante fue que el gobierno de EE. UU. prohibió los escáneres capaces de recibir las frecuencias usadas comúnmente por los teléfonos inalámbricos
    • En los años 80, un amigo tenía una radio alemana que captaba un rango de frecuencias más amplio que las que se vendían en su país, y con eso podía escuchar transmisiones de la policía
      Era curioso, pero no interesante
      En los 90 también llegué a ajustar una TV/radio portátil de mi hermano para captar llamadas de celular
      En esa época también podías enviar correos con el remitente que quisieras usando telnet 25, y solía mandar saludos navideños a mis compañeros de la universidad como si los enviara Santa
    • A fines de los 80 tenía una videocasetera capaz de sintonizar canales de TV abierta de la costa este de EE. UU.
      Trasteando con ella cuando era niño de primaria, de alguna manera descubrí que con ese sintonizador podía espiar conversaciones telefónicas
      Vivía en una granja, con unas veinte casas en un radio de 1 milla alrededor de la mía, y la casa más cercana estaba a unos 400 m
      Creo que había una pequeña antena de conejo detrás del televisor CRT y que podía conectarla a la videocasetera, pero no recuerdo exactamente cuál era el hardware real
      Nunca logré averiguar si eran teléfonos inalámbricos, señales de celulares que pasaban por la autopista cercana, o radios CB de camioneros
      También pudo haber sido radioafición de larga distancia, pero al hablar no parecían usar protocolos de radioaficionados
    • DECT tampoco era especialmente seguro, y lo mismo pasaba con el cifrado de llamadas GSM (2G)
      Los CVE relacionados con TETRA recientes son aún más interesantes ;)
      https://www.midnightblue.nl/tetraburst
    • Es cierto, pero en algunos casos no vale la pena el costo ni el esfuerzo
      Por ejemplo, cosas como interruptores de luz sin alimentación
      En algunos casos, es razonable esperar que la gente no haga tonterías
  • Discusiones recientes relacionadas:
    Flipper Zero puede hacer crashear un iPhone con iOS 17
    https://news.ycombinator.com/item?id=37919396
    Apple bloqueó la función de Flipper Zero que apagaba iPhones
    https://news.ycombinator.com/item?id=38656607
    Flipper Zero fue prohibido en Amazon por ser un “dispositivo de skimming de tarjetas”
    https://news.ycombinator.com/item?id=35481580
    Un aeropuerto del Reino Unido confiscó el Flipper Zero de un pasajero
    https://news.ycombinator.com/item?id=37707486

    • Lo último es gracioso
      Después de especular sin parar sobre cómo esa persona podría haberlo manejado mejor, apareció él mismo y contó que lo había resuelto bastante bien, y de pronto todos se quedaron callados
    • Vi en Twitter una historia de un niño que con un Flipper Zero hizo crashear y apagó una bomba de insulina
  • Salvo por los sistemas de control de acceso, tiene muy pocos usos buenos como equipo de pentesting en el mundo real
    Si hubiera podido grabar, procesar y reproducir señales RF en I/Q como un verdadero SDR de bolsillo, el precio habría estado justificado
    Pero como el chip RF usado tiene soporte limitado para tipos de modulación, es más un juguete para adolescentes aspirantes a hackers que una herramienta seria
    Personalmente, creo que conviene mucho más invertir en un clon de HackRF+PortaPack

    • Estoy totalmente de acuerdo en que se queda corto como equipo completo de pentesting, pero no creo que necesite ser tan completo para volverse popular
      Basta ver que se agotó cuando Samy Kamkar mostró el IM-ME [0]
      La mayoría de la gente no necesita un SDR completo como HackRF para explorar sus propios dispositivos RF, y Flipper ofrece eso sin los dolores de cabeza de software ni el volumen de un PortaPack grande
      Para que conste, me gustan HackRF y PortaPack, pero Flipper no puede competir en cuanto a las funciones necesarias y el acceso de bajo nivel
      [0] https://hackaday.com/2015/06/08/hacking-the-im-me-to-open-garages/
  • Sirve bien como control remoto Bluetooth para presentaciones, para compartir códigos QR o contactos por NFC en conferencias, y para mover un poquito el mouse y evitar que la laptop se bloquee y corte la conexión VPN
    También me resultó bastante útil en casa durante las fiestas (https://some-natalie.dev/blog/flipper-at-home/)
    Es una multiherramienta bastante buena :-)

  • Me fue bastante útil en varias situaciones
    Lo usé como mouse/teclado USB cuando se agotaron por completo las baterías del mouse y el teclado de la iMac en la que estaba trabajando; es incómodo, pero sirve en una emergencia
    También lo usé para clonar un ventilador de techo y unas luces raras; parece que los controles remotos que compré eran malísimos
    Lo usé como reloj de mesa de noche durante viajes, como app de autenticación al estilo de una YubiKey de respaldo, y como mouse jiggler para que la computadora no se durmiera
    También es muy divertido apuntarle a las TVs de los restaurantes, y a los niños les encanta
    La función de laser tag IR de Nerf Laser Ops Pro es realmente emocionante
    Las pistolas Nerf reales tienen retraso en el gatillo, pero Flipper no tiene retraso ni necesita “recargar”, así que se convierte en un monstruo imparable

    • Vale la pena tener en cuenta la implementación U2F de Flipper [0] y sus posibles debilidades frente a YubiKey u otras llaves U2F
      [0] https://modusmundi.com/posts/u2f-flipper/
    • Me divertí mucho automatizando con el Bad USB DuckyScript de Flipper unos flujos de trabajo de CMS repetitivos y tediosos de un cliente
      Con solo presionar un botón llenaba muchos campos de entrada en varias ventanas del navegador, y eso aumentó la productividad y la felicidad
      Después me pasé a Playwright, pero fue Flipper el que me dio la idea
    • Si te divierte manipular las TVs de restaurantes y a tus hijos les gusta, probablemente todavía puedas comprar para ellos esos controles remotos de encendido y volumen “para cualquier TV” de 5 dólares que van en el llavero
  • Probé usar Flipper y stickers NFC para no tener que llevar muchos FOBs y tarjetas, pero Flipper no fue excelente para esa tarea
    Se quejaba de que los stickers NFC que compré no se podían escribir, y tampoco pudo leer todos los sectores de algunas etiquetas NFC
    En cambio, con la app MCT de Android sí pude escribir en esos mismos stickers y leer las etiquetas que Flipper no pudo leer
    Para clonar había que copiar cadenas al portapapeles, y la UI de Flipper no está diseñada para ese tipo de tarea

    • No soy experto en NFC, pero lo que aprendí al trastear con Flipper es que hay muchos tipos de dispositivos NFC y no son compatibles entre sí en absoluto
      No parecen ser dispositivos simples y tontos, sino más bien pequeñas computadoras que reciben energía, se encienden y hacen algo
    • El concepto de Flipper es genial, pero me di cuenta de que la implementación actual está bastante incompleta y tiene muchas limitaciones
      La comunidad tampoco se siente especialmente acogedora
  • Sí me dan ganas de comprar uno, pero cuando veo artículos que tratan esta relación con Rusia, me da para pensarlo
    https://simovits.com/flipper-zero-zero-trust/

    • Al final, no encontraron nada sospechoso en el dispositivo ni en la app
      En cambio, forzaron conexiones entre Flipper Devices y las empresas dueñas del hackerspace donde trabajaba Pavel Zhovner, y presentaron su troleo y la creación de herramientas para evadir la censura como “apoyo activo a las autoridades rusas”
    • Este dispositivo no es más que una placa STM32 bastante potente con periféricos interesantes, y lo que marca la diferencia es el firmware y el software potentes
      Pero como todo es open source, se puede portar a otro dispositivo con un diseño similar, sin código que se comunique con casa, y creo que los hackers deberían considerar esa opción
      Porque Flipper Zero fue prohibido en algunas regiones, y si te lo encuentran en lugares como un aeropuerto, puede terminar en confiscación o interrogatorio
      Además, es caro para los componentes que lleva, y aun vendiéndolo a mitad de precio podría generar bastante ganancia
      Personalmente, como estoy 100% del lado de Ucrania frente a la invasión bárbara de Putin, preferiría gastar mi dinero comprando algo en tiendas ucranianas de excedentes electrónicos en eBay
    • Por supuesto que debería dar mala espina, y las autoridades de protección al consumidor de EE. UU. no están respondiendo adecuadamente
      Según el informe, Flipper Devices Inc. registró su sede en Estados Unidos, pero en esa dirección no se realiza desarrollo ni actividad comercial; es la dirección de una empresa “casilla postal”
      La mayoría de los empleados registrados en LinkedIn figuraban hasta hace poco en la zona de Moscú, y luego de pronto cambiaron a Tbilisi, Georgia; en LinkedIn ya no quedan desarrolladores en Rusia
      TZOR y Neuron Hackspace compartieron la misma dirección en 2012–2013, y Esage Lab/TZOR, empresa del fundador de Neuron Hackspace, está en la lista de sanciones de EE. UU. por haber proporcionado herramientas al GRU y al FSB en relación con el hackeo del DNC de 2016
      Se dice que esa atribución fue verificada en 2017 y 2020
      Según el informe, el fundador y CEO de Flipper Devices Inc. participó en actividades que podían atraer la atención de los organismos de seguridad rusos, como operar el sitio DDoS putinvzrivaetdoma.org, y también en actividades que pueden interpretarse como apoyo activo a las autoridades rusas, como los intentos de obstaculizar el blog de Alexei Navalny en 2014 y la creación de Zaborona_help para evadir bloqueos ucranianos
      El informe evalúa que la probabilidad de que Flipper Zero esté vinculado con los servicios de inteligencia rusos es de 50/50, y considera probable que las autoridades rusas estén al tanto de la distribución de Flipper Zero y monitoreen oportunidades como influencia en la comunidad hacker, reclutamiento de talento y futuros ataques a infraestructura
      También considera que las autoridades rusas podrían seguir ejerciendo una influencia o control considerable sobre esta comunidad hacker, y beneficiarse de reclutar talento con experiencia en seguridad e IT o de extorsionar a extranjeros vinculados con esta comunidad
    • El odio a los rusos se salió de control
    • Es interesante, pero ¿hay fuentes que respalden las afirmaciones de esa entrada de blog?