image

Canada verbiedt gebruik Flipper Zero om autodiefstal tegen te gaan

vrijdag 9 februari 2024, 11:12 door Redactie, 16 reacties

De Canadese overheid gaat de import, verkoop en gebruik van de populaire geektool Flipper Zero, alsmede andere apparaten waarmee keyless entry-signalen van auto's zijn te onderscheppen, verbieden. Volgens de autoriteiten is de maatregel bedoeld om autodiefstallen in het land tegen te gaan.

De Flipper Zero wordt door de ontwikkelaars omschreven als een multitool voor penetratietesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen, NFC, RFID, Bluetooth en infrarood en kan voor allerlei tests en onderzoeken worden gebruikt. Ook kan het als USB universal 2nd-factor (U2F) authenticatie token of security key fungeren en is het voor "BadUSB" aanvallen te gebruiken.

Gisteren kondigde de Canadese overheid 'federale maatregelen' aan om autodiefstallen tegen te gaan. Zo wordt er samengewerkt met de auto-industrie om nieuwe oplossingen te ontwikkelen om voertuigen tegen diefstal te beschermen en gestolen voertuigen terug te vinden. Daarnaast wordt de verkoop en gebruik van apparaten verboden waarmee signalen voor keyless entry zijn te onderscheppen, waarbij specifiek de Flipper Zero wordt genoemd.

De makers van de Flipper Zero laten in een reactie weten dat het apparaatje alleen bedoeld is voor test- en ontwikkeldoeleinden en er voorzorgsmaatregelen genomen zijn om ervoor te zorgen dat het apparaatje niet voor malafide doeleinden is te gebruiken, zo meldt Canadese media. Vorig jaar besloot Amazon.com de verkoop van het apparaatje te verbieden en nam de Braziliaanse overheid zendingen van de Flipper Zero in beslag. Het nieuws over het Canadese verbod zorgde voor honderden reacties op Reddit en Hacker News.

Reacties (16)
09-02-2024, 11:21 door Anoniem
LOL, dit is dus de verkeerde oplossing...
Het verbieden van tools gaat daarbij niet helpen, want mensen die auto's stelen houden zich dus sowieso niet aan de wet.

Je moet die auto's updaten zodat ze niet meer kwetsbaar zijn voor de meest simpele aanvallen.
En je moet ervoor zorgen dat de sociale structuur van je maatschappij op orde is.
09-02-2024, 11:51 door Anoniem
Auto fabrikanten opdragen om hun security op order te brengeb was blijkbaar geen optie.
09-02-2024, 11:52 door Anoniem
Ik begrijp dat ze dit willen tegengaan, maar een echte autodief kan nog steeds hetzelfde doen met een HackRF, dus waarom zo'n haat op de Flipper Zero? Je wilt skiddies vermijden, maar die kunnen zelfs met een Flipper nog geen auto stelen hoor, trust me.
09-02-2024, 11:54 door Ryan_
Ik vind het wel een rot geval,

Autofabrikanten hebben steken laten vallen bij de implementatie van beveiliging, waardoor de Canadese overheid tijd moet besteden aan een tijdelijke oplossing. Dit is op zijn beurt weer zuur voor het bedrijf Flipper, want zij kunnen er niets aan doen dat criminelen misbruik maken van de fouten van de autofabrikanten.
09-02-2024, 12:55 door Anoniem
Ik open en sluit mijn auto al weer een paar jaar gewoon met de sleutel. Waarom moet dat eigenlijk met een afstandsbediening als je er vlak naast staat?

Daarnaast zit er ook op dat vlak nog veel te veel electronica in. Wat in wezen gewoon te irritant is. Zeker als je op het verkeer moet letten. Verlies je een afstandsbediening, dan moet heel de zooi veranderd worden, de fabrikant vertrouwt je niet en het kost een vermogen. Waarom moet dat?

Als ik in mijn voordeur thuis een nieuw slot wil dan is dat gewoon een paar tientjes en klaar. Zonder flipperkast.
09-02-2024, 13:15 door Anoniem
Door Ryan_: ... waardoor de Canadese overheid tijd moet besteden aan een tijdelijke oplossing. ...

Noem ik niet een oplossing, eerder "security through obscurity". Als niemand kan zien hoe slecht het is dan is het vast goed beveiligd.
09-02-2024, 14:01 door Anoniem
Door Anoniem: LOL, dit is dus de verkeerde oplossing...
Het verbieden van tools gaat daarbij niet helpen, want mensen die auto's stelen houden zich dus sowieso niet aan de wet.

Je moet die auto's updaten zodat ze niet meer kwetsbaar zijn voor de meest simpele aanvallen.
En je moet ervoor zorgen dat de sociale structuur van je maatschappij op orde is.
Maar het maakt het wel erg makkelijk potentiële dieven te veroordelen. Als zo'n apparaatje wordt aangetroffen bij iemand zijn ze automatisch strafbaar. Je hoeft niet te wachten tot ze een auto proberen te stelen of proberen intentie aan te tonen.
09-02-2024, 14:02 door Anoniem
Door Anoniem: Ik open en sluit mijn auto al weer een paar jaar gewoon met de sleutel. Waarom moet dat eigenlijk met een afstandsbediening als je er vlak naast staat?

Daarnaast zit er ook op dat vlak nog veel te veel electronica in. Wat in wezen gewoon te irritant is. Zeker als je op het verkeer moet letten. Verlies je een afstandsbediening, dan moet heel de zooi veranderd worden, de fabrikant vertrouwt je niet en het kost een vermogen. Waarom moet dat?
Als ik in mijn voordeur thuis een nieuw slot wil dan is dat gewoon een paar tientjes en klaar. Zonder flipperkast.

Absoluut mee eens, al gebruik ik zelf een 3-sterren SKG slot met gehard staal om het breken van cilinders te voorkomen. (Bulgaarse methode, het zogeheten "kerntrekken", dat is een akelig makkelijke methode im binnen te komen, daarnaast gebruik ik anti-inbraakstrips tegen breekijzers, schijnt ook veel te gebeuren)
Maar de auto fysiek openen zou moeten helpen inderdaad.
Vaak is het zo dat de auto de encyptiesleutel onklaar maakt bij gebruik, maar als de auto het niet ontvangt en een flipper zero wel (of vergelijkbaar apparaat) dan zijn de rapen gaar, dan is die versleuteling nog niet onklaar gemaakt door de auto omdat deze nooit gebruikt is.
Ook mijn besturingsystemen beveilig ik met grote zorg, ik ben blij dat ik niet de enige ben aangezien ik vaak om me heen kijk en heel veel mensen geen goede ipsec hebben. (Op social media posten dat ze op vakantie gaan e.d., lol)
09-02-2024, 14:05 door Anoniem
Door Anoniem: Ik begrijp dat ze dit willen tegengaan, maar een echte autodief kan nog steeds hetzelfde doen met een HackRF, dus waarom zo'n haat op de Flipper Zero? Je wilt skiddies vermijden, maar die kunnen zelfs met een Flipper nog geen auto stelen hoor, trust me.
Die HackRF is ook verboden, net zoals zelfgemaakte apparaten. Als het apparaat de keyless entry-signalen van autos kan onderscheppen is het verboden.
09-02-2024, 15:16 door Briolet
Door Anoniem: Maar het maakt het wel erg makkelijk potentiële dieven te veroordelen. Als zo'n apparaatje wordt aangetroffen bij iemand zijn ze automatisch strafbaar.

Precies. Een normaal persoon heeft geen reden om met zo'n apparaat door een woonwijk te lopen waar hij waarschijnlijk niet eens woont. Het is waanzin dat je moet wachten totdat je iemand op heterdaad kunt betrappen terwijl het zo ook al duidelijk is wat hij van plan is.
09-02-2024, 15:32 door majortom - Bijgewerkt: 09-02-2024, 15:37
Laten we ook KALI verbieden want daar kun je iemand mee hacken. Laten we ook nmap verbieden want daar kun je mee zien welke poorten openstaan. Laten we ook een reverse proxy verbieden want daar kun je een MitM mee doen. Beter, laten we een compiler verbieden want daar kun je deze tools mee maken.

Deze tools zorgen er juist voor dat de leveranciers security nu eindelijk eens serieus moeten nemen. Nu wordt de verantwoordelijkheid hiervoor weggenomen bij de fabrikanten door een tool, waarmee je kunt aantonen dat security zwaar onder de maat is, te verbieden. Waanzin ten top.

PS. Ik moet mijn Flipper Zero/HackRF e.d. maar koesteren; deze zou zomaar binnenkort niet meer vrijelijk te verkrijgen kunnen zijn.
09-02-2024, 15:56 door Anoniem
Door Anoniem: Maar het maakt het wel erg makkelijk potentiële dieven te veroordelen. Als zo'n apparaatje wordt aangetroffen bij iemand zijn ze automatisch strafbaar. Je hoeft niet te wachten tot ze een auto proberen te stelen of proberen intentie aan te tonen.
Dat klinkt alsof ze eigenlijk andere problemen hebben, zoals bijvoorbeeld:
- Niet de juiste apparatuur/procedures in plaats hebben voor het op heterdaad betrappen.
- Het is te moeilijk om kwade intentie aan te tonen.

Ze lossen nu dus een symptoom op in plaats van het daadwerkelijke probleem.
09-02-2024, 16:20 door Wim ten Brink
Het probleem is dat dit soort hack-tools eenvoudig te maken zijn voor iemand met een beetje kennis van zaken en goedkope Chinese hardware. Met een ESP-01, een oplaadbare batterij en een klein zonnepaneeltje kun je al in je omgeving continu alle WiFi connecties volgen en hotspots vinden. Voeg er een GPS module aan toe en je weet ook de locaties van alle hotspots te bepalen door gewoon rond te rijden. En dan ben je eigenlijk alleen maar passief aan het luisteren.
Met wat andere hardware onderdelen kun je gewoon je eigen receiver maken die met meerdere frequenties kan werken. Is wel lastig te programmeren, dus voor veel mensen een stuk lastiger.
Maar wat lastiger zal worden is dat er steeds meer van dit soort hardware zal komen, en een deel daarvan zal als open-source hardware beschikbaar worden. Met bijbehorende code op GitHub of zo. En dan is er geen andere optie meer dan censuur, wat niemand zal willen. Want als de hardware ontwerpen openbaar worden, dan kan iedereen dit soort apparatuur camoufleren in andere producten. Die zijn dan onvindbaar tenzij je bereid bent om electronica helemaal uit elkaar te halen om te controleren of deze hardware erin verwerkt is.
09-02-2024, 22:02 door Anoniem
Als een slot valse sletels accepteerd is dat niet het probleem van de sleutels, maar van het slot....
09-02-2024, 22:58 door Anoniem
Door majortom: Laten we ook KALI verbieden want daar kun je iemand mee hacken. Laten we ook nmap verbieden want daar kun je mee zien welke poorten openstaan. Laten we ook een reverse proxy verbieden want daar kun je een MitM mee doen. Beter, laten we een compiler verbieden want daar kun je deze tools mee maken.

Deze tools zorgen er juist voor dat de leveranciers security nu eindelijk eens serieus moeten nemen. Nu wordt de verantwoordelijkheid hiervoor weggenomen bij de fabrikanten door een tool, waarmee je kunt aantonen dat security zwaar onder de maat is, te verbieden. Waanzin ten top.

PS. Ik moet mijn Flipper Zero/HackRF e.d. maar koesteren; deze zou zomaar binnenkort niet meer vrijelijk te verkrijgen kunnen zijn.

Mee eens, code is als vrije spraak, als men een slechte beveiliging implementeert is het belangrijk dat deze fouten voortaan gemakkelijker kan worden verholpen in plaats van de gehele digitale wereld in een kluisje te stoppen, het is als een symbiotische relatie.
Als men code een apoaratuur gaat "censureren" zijn de rapen gaar...
12-02-2024, 11:35 door Anoniem
Door Anoniem: Verlies je een afstandsbediening, dan moet heel de zooi veranderd worden, de fabrikant vertrouwt je niet en het kost een vermogen. Waarom moet dat?.

Ik weet niet in wat voor auto jij rijdt? Als je een afstandsbediening verliest is het gewoon een nieuwe bestellen.
De oude uit het systeem van de auto halen en de nieuwe in leren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.