Російський хакерський інструмент: чи небезпечний Flipper Zero для українців
На рік компанія з російським корінням Flipper Devices випускає 40 тисяч хакерських інструментів Flipper Zero — це девайс, здатний зчитувати, копіювати та емулювати теги RFID і NFC, радіопульти, цифрові ключі доступу й не тільки.
Попри російське коріння фірми та частину команди розробки, яка досі мешкає в росії, хакертул досі доступний в Україні — його можна придбати в магазинах техніки та на маркетплейсах. За допомогою нього, наприклад, можливо зламати чужу Tesla або ж відчинити двері з карткозчитувачем.
DOU розповідає, чи справді Flipper Zero може містити загрозу, тим паче в контексті російсько-української війни.
🔨 Flipper Zero: на що здатен хакерський девайс
Розробникам Flipper Zero знадобилося рівно вісім хвилин, щоб у
Одним із 40 тисяч, хто профінансував розробку, тоді був український Software Engineer Дмитро Пузир. В розмові з DOU він каже, що ідея запуску Flipper Zero здалася йому цікавою. Спеціаліст був підписаний у телеграмі на автора проєкту, а також на кількох розробників. Те, що вони пропонували, було унікальним для ринку, каже інженер, тому вирішив підтримати розробників фінансово. Це був 2020 рік.
Девайс можна перетворити на USB-пристрій, наприклад клавіатуру, і надсилати заздалегідь підготовлену послідовність команд. За допомогою Flipper Zero перемикають треки в плейлисті чи слайди на презентації. Є в ньому і Universal 2nd Factor. Це стандарт для другого фактора аутентифікації, де другий фактор — фізичний пристрій. Тобто можна натиснути кнопку на Flipper Zero і підтвердити, що це саме ви намагаєтеся увійти у свій твіттер чи Google-акаунт.
Якщо ж розбиратися в технологіях більше за пересічного користувача, можна відкрити Tesla чи навіть увімкнути зелене світло на світлофорах.
Розробники також додали елемент гейміфікації. Це те, за що девайс називають «тамагочі». У ньому «живе» дельфін, якого потрібно «годувати». Та якщо у класичних тамагочі тваринку годують віртуальною їжею, то у випадку Flipper Zero це пристрої, які вдалося зламати. Що більше зламів, то вищий рівень дельфіна. А якщо його не «годувати», тварина почне «сваритися» на свого власника.
Flipper Devices Inc зареєстрована у США. Очолює проєкт виходець з Одеси Павло Жовнер. Однак з Україною його мало що пов’язує сьогодні, принаймні в професійному плані. Російські ЗМІ називають Жовнера «російським техноінтузіастом». І не просто так, адже з України він переїхав у Москву. Flipper Zero заснували саме там, і кістяк команди — росіяни, які й після повномасштабного вторгнення залишаються на території країни-агресора.
Дмитро Пузир, який отримав Flipper Zero, каже, що «трохи погрався» з пристроєм, однак нині ним не користується. Від початку девайс зацікавив його з погляду технологій, однак отримав він його уже після початку повномасштабного вторгнення.
«Радощів, звісно, в мене вже не було. Тим паче я замовив до нього ще чохол. І коли розпакував, побачив, що на ньому напис „Флиппер“ — російською. Я був дуже розчарований. Певно, це зайвий раз показує, як компанія ставиться до росії», — зазначив Дмитро.
Від моменту запуску Flipper Zero перебуває під наглядом регуляторних державних структур, які дозволяють або забороняють реалізацію та використання девайсу на території конкретної країни. Розробку неодноразово забороняли до продажу і конфісковували цілими партіями.
Блокування рахунків і конфіскація пристроїв: чому поширенню Flipper Zero перешкоджають
Проблеми у Flipper Devices почалися після того, коли настав час надсилати девайси людям, які підтримали проєкт на Kickstarter. Їм обіцяли доставити пристрої у
«Я свій Flipper Zero отримав у січні
Спочатку команді завадила виконати свою роботу криза на ринку напівпровідників. Коли це питання розв’язали, більшу частину замовлень тим, хто спонсорував випуск девайсу від початку через Kickstarter, розробники надіслали вчасно. Але це стосувалося лише тих, хто мешкає у США, Великій Британії, Австралії, росії та деяких країнах ЄС. Натомість замовникам з України і ще низки країн доставку затримали.
Компанія розділила отримувачів у черзі за країнами, а не за конкретним номером замовлення у списку. За їхніми словами, це було пов’язано з логістикою та особливостями оформлення і доставлення вантажів, а також «російсько-українським конфліктом». Якщо у країні було багато замовлень Flipper Zero, їх надсилали масово, одним контейнером. А якщо ні — як індивідуальні посилки. У такому разі кожне замовлення пакували в Гонконзі та надсилали конкретній людині. Цей спосіб розробники девайсу назвали менш надійним, дорожчим і більш тривалим. Звідси й були затримки.
Влітку
Невідомо, як саме велася комунікація між представниками Flipper Zero і PayPal, та врешті 30 листопада розробникам повернули кошти. Однак — 74% ($980 тис.) від усієї суми. Решту, а це $350 тис., PayPal залишив заблокованими з формулюванням «to mitigate possible claims» (щоб пом’якшити можливі претензії). Їх компанії повернули цього року і назавжди заблокували її акаунт.
У грудні
У березні
У квітні
🧨 «Є потенціал використання в усіх видах злочинів». Чим загрожує Flipper Zero
Про те, як користуватися Flipper Zero для абсолютно законних цілей, розповідають самі розробники. Про це із захватом пишуть світові медіа на кшталт Wired чи The Verge.
І якщо розглядати саме в такому форматі, то пристрій — звичайний девайс, що може комусь полегшити життя. Однак гарантій, що всі користуватимуться ним лише в особистих безневинних цілях — немає. За допомогою Flipper Zero можна записати сигнал, який подає пристрій відкривання дверей гаража. І немає гарантії, що цього не зробить той, хто націлений на крадіжку. Так само старі автомобілі, які не використовують шифрування змінного коду, можна розблокувати за допомогою девайсу. Чимало дверей у готелях або ж будинків захищені замками з RFID-контролем — і їх можна непомітно зламати за допомогою Flipper Zero. Аби зчитати номер банківської картки, навіть не потрібно тримати її впритул до пристрою. Він може це зробити, якщо пластик лежить у гаманці.
Також Flipper Zero дає змогу глушити радіочастоти. Пристрій визначає частоту, на якій спілкуються два або більше пристрої, а потім постійно генерує сигнали на цій частоті, щоб створити перешкоди у вигляді шуму. Це не працюватиме зі стандартною мікропрограмою Flipper Zero, оскільки вона має певні регіональні та частотні обмеження. Але якщо встановити спеціальну мікропрограму, яка розблокує ці обмеження, то глушіння частот цілком реальне. Однак це незаконно у більшості країн світу.
Flipper Zero можна використовувати і для атаки на мережі Wi-Fi. Звісно, за замовчуванням девайс не підтримує Wi-Fi, як і кажуть автори проєкту. Однак якщо додати плату розробника Wi-Fi, така функція з’являється. Плата використовує модуль ESP32-S2. З його допомогою можна виконувати атаки деавтентифікації, rikrolling SSID тощо.
Засновник Павло Жовнер казав, що не вірить, ніби люди зі злими намірами спеціально купуватимуть пристрій, «аби творити зло».
«Бо Wi-Fi картку для комп’ютера можна використовувати зі спеціальним софтом і творити зло. Але ж ми не кажемо, що USB Wi-Fi адаптери — це зло. Сокири в магазині продаються. Можна накупити їх і бити на вулицях людей. Ми ж від цього ніяк не захищаємося. Я не вірю, що є 30 тисяч людей, які цілеспрямовано збираються обкрадати автомобілі. [...] Тим паче у стоковій прошивці „злих“ функцій немає», — заявив Жовнер.
Український представник Cyber.Anarchy.Squad у коментарі DOU сказав, що «сам Flipper — це досить цікава, але для старту слабка іграшка». Зокрема, він зазначив, що антена слабка, але якщо під’єднати свою, можна використати Flipper на більшу відстань. Однак дані з самого пристрою «нікуди не витечуть, якщо цього не зробить сам користувач».
Та не варто забувати, що це проєкт з відкритим кодом. І, з одного боку, це добре для безпекового моменту, адже будь-хто може перевірити, з чого складається Flipper Zero «під капотом». Однак з іншого — це означає, що його можна адаптувати під власні потреби, навіть зі злочинними цілями.
Саме через можливість гнучкого налаштування за девайсом з моменту його запуску стежить High Tech Crime Cops, міжнародна галузева група, що складається з представників правоохоронних органів та об’єднує кіберкопів і слідчих.
Крім того, в липні цього року розробники пристрою запустили власний магазин застосунків Flipper Apps. Він дозволяє користувачам встановлювати сторонні застосунки та розширювати можливості власних пристроїв.
Магазин вбудований у мобільний застосунок Flipper Zero для Android й iOS. Раніше користувачі девайсу мали самостійно шукати застосунки в різних репозиторіях і завантажувати їх на пристрій за допомогою microSD. Тепер же їх можна переглядати безпосередньо в магазині. Ідеться про універсальні пульти дистанційного керування, hex-редактори, фазери тощо.
Автори проєкту запевняють, що перевіряють усі застосунки перед тим, як додати їх у магазин, щоби сторонні розробки не нашкодили власникам Flipper Zero шкідливим кодом.
В офіційному коментарі DOU компанія Flipper Devices повідомила, що «Flipper Zero не має доступу до інтернету та не збирає інформацію про користувачів».
«Програми на Flipper Zero збирають лише інформацію про рівень обслуговування, наприклад, частоту оновлення Flipper Zero, поточну версію мікропрограми на пристрої тощо. Особисті дані не збираються та жодним чином не пов’язуються з інформацією про рівень обслуговування. Крім того, мікропрограмне забезпечення пристрою та наші програми для мобільних пристроїв є відкритими, тож кожен може перевірити код і те, як він обробляє дані», — заявили в компанії.
Водночас у розділі «Конфіденційність» Flipper Zero досить стандартно зазначено, що особиста інформація, яку може збирати компанія, залежить від того, як користувач взаємодіє з нею та її сервісами, функціями девайсів. У контексті особистої інформації йдеться про ім’я, номера телефонів, адреси електронної пошти, контактні дані або дані автентифікації тощо.
Якщо користувач дозволить, то компанія отримає доступ до певних функцій мобільного (Bluetooth, пам’ять тощо). Компанія автоматично збирає інформацію про ідентифікатор мобільного пристрою, модель і виробника, інформацію про операційну систему, інформацію про версію та інформацію про конфігурацію системи, ідентифікаційні номери пристроїв і програм, тип і версію браузера, модель апаратного забезпечення інтернет-провайдера та/або оператора мобільного зв’язку та IP-адресу (або проксі-сервер) тощо.
«Ця інформація насамперед потрібна для підтримки безпеки та роботи наших програм, для усунення несправностей, а також для внутрішньої аналітики та звітності», — йдеться у повідомленні.
Керівник управління забезпечення діяльності Національного координаційного центру кібербезпеки профільної служби апарату РНБО України Сергій Прокопенко у коментарі DOU зазначив, що сам девайс не є шкідливим.
«Це, по суті, SDR початкового рівня зі зручним інтерфейсом. На ринку є більш просунуті пристрої, але вони потребують більших компетенцій від користувача. Крім того, у США, де зареєстрований офіс виробника, досить уважно ставляться до таких речей. Особливо коли команда розробників продукту з росії», — пояснює Прокопенко.
Основна проблема криється якраз у мобільних застосунках, каже експерт. Бо якщо пристрій не використовує під’єднання до інтернету, то застосунки це роблять. Вони можуть запитувати доступ до камери, мікрофона, контактів, геолокації. І невідомо, хто ці дані отримає і як використає.
☢️ «Крок 1: суїцид»: як компанія коментує війну та чи небезпечний Flipper Zero для українців
Свою позицію щодо нападу росії на Україну у Flipper Zero прокоментували в середині березня
Однак припиняти продаж товару росіянам і на території росії команда не збиралася.
«Поточні події ніяк не вплинуть на виробництво Flipper Zero, і всі замовлені пристрої будуть відправлені бекерам і тим, хто оформив попереднє замовлення. Але можливі затримки для клієнтів з країн СНД через перебої з логістикою в регіоні», — йшлося в дописі на офіційній сторінці компанії.
Щоправда, в неофіційному листуванні тактовності було менше. Один з користувачів DOU у серпні
«У нас офіс у рф, російські співробітники (більша частина команди). Вскритися всім тепер чи що?» — так на питання про те, чому компанія досі провадить бізнес у росії, відповіла її офіційна представниця.
Сам Жовнер після цього в саркастичній манері додав: «Крок 1: суїцид».
В інтерв’ю російському медіа від серпня
«Ми вирішили, що хочемо бути хорошими. Нікого не звільнили, не зупиняємо найм — команда і так у стресі. Провели корпоратив у Сочі, щоби допомогти їм перемкнутися та відпочити», — повідомила Віталія Просвєтова.
DOU спробував зв’язатися з українцями, які працюють у Flipper Devices, однак повідомлення залишилися без відповідей.
Нагадаємо, Flipper Devices Inc зареєстрована у США. Павло Жовнер заявляв, що вона жодним чином не представлена в росії юридично. Щоправда, його цей факт радше засмучував.
«Я б із задоволенням зробив ООО „Паша Жовнер“. Але, як виявляється, якщо ти російська компанія, ніхто у світі особливо з тобою працювати не хоче. Мені це не до вподоби. Є низка різних санкцій... навіть просто щоб чипи купити для прототипування, є низка обмежень. Ми вирішили відкрити компанію у США, бо це найпростіший варіант. Намагалися зареєструватися як гонконзька компанія, але на той момент російським засновникам просто не відкривали банківський рахунок», — казав Жовнер у
Судячи з інформації, що є в мережі, ще в лютому цього року компанія наймала людей у Москві. Однак у червні
Те саме представники Flipper Devices заявили і в коментарі DOU.
«У нас немає офісу в росії. Flipper Devices була заснована в Москві, але після початку війни ми закрили свій офіс і доклали зусиль, щоб перевести всіх наших співробітників», — запевнили в компанії.
Сам Жовнер, судячи з інформації в LinkedIn, нині мешкає в Дубаї, хоча у фейсбуці та інстаграмі він пише про Лондон. Більша частина команди — за кордоном.
«Ми міжнародна дистриб’юторська компанія та будуємо нашу нову штаб-квартиру в Лондоні. Наш генеральний директор Павло Жовнер, який є громадянином України, проживає в Дубаї», — прокоментували у компанії.
У LinkedIn за пошуком співробітників у Flipper Devices, у яких місцем проживання вказана росія, знаходить лише профіль QA Engineer. Це може означати, що компанія релокувала своїх працівників за кордон, або ж те, що не у всіх зазначене місце проживання.
Чи правдива заява про те, що Flipper Devices не доставляє пристрої в росію? На офіційному сайті зазначено, що доставки туди немає. Однак на маркетплейсах Flipper Zero досі продається, а відгуки залишають росіяни, які отримали своє замовлення в липні
У Національному центрі кібербезпеки кажуть, що купувати Flipper Zero — не найкраща ідея. І річ навіть не у його загрозі безпеці.
«З технічного погляду ми не бачимо особливих загроз у його використанні. Але продукт виробляє росія, і частина прибутку від його продажу (податки) йде на фінансування війни в Україні. Тому користувачам варто самим ухвалювати рішення, чи потрібна їм така іграшка», — каже Сергій Прокопенко.
Експерт не вважає, що схожий девайс може бути корисний в Україні, навіть якщо з’являться аналоги.
«В Україні зараз активно розвивається military-tech. Українські розробники працюють над крутими продуктами, які допомагають нам перемогти на передовій та у кіберпросторі. Розробку такого інструменту, можливо, варто розглядати як навчальні завдання для учнів чи студентів перших курсів профільних університетів», — підсумував фахівець.
Представник української хакерської групи Cyber.Anarchy.Squad каже, що Flipper Zero варто сприймати як іграшку-мультитул для взаємодії з невеликими приладами, яку хакери просто полюбили за компактність і можливості. Жодної страшної загрози девайс нині не несе, стверджує він.
«Сумніваюся, що в Україні, є якісь радіогіки, які вирішать „кошмарити“ радіоелектроніку ЗСУ або ж інших установ. Тому що таке провернути можна тільки локально, а для більшої дистанції, та й більш ефективного джемінгу, хакери краще використають самотужки зроблені глушилки або ж якийсь HackRF».
В інтерв’ю російському журналісту, яке вийшло у липні
Все про українське ІТ в телеграмі — підписуйтеся на канал DOU
21 коментар
Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.