Flipper Zero: multiferramenta geek que pode comprometer ambientes

Uma famosa ferramenta se popularizou entre a comunidade de segurança por auxiliar a realização de testes mais simples em diversos dispositivos, mas também pode ser usada para causar diversos tipos de danos. Conheça alguns pontos de atenção sobre esta ferramenta.
Daniel Cunha Barbosa
Daniel Cunha Barbosa

Uma famosa ferramenta se popularizou entre a comunidade de segurança por auxiliar a realização de testes mais simples em diversos dispositivos, mas também pode ser usada para causar diversos tipos de danos. Conheça alguns pontos de atenção sobre esta ferramenta.

O Flipper Zero é uma ferramenta nova que começou a ter seu projeto divulgado em meados de 2020 na plataforma Kickstarter. Seu propósito desde o início foi prover ferramentas úteis para interação com diversos tipos de dispositivos sem fio, e ela cumpriu perfeitamente isso.

Dentre as possibilidades de interação projetadas nativamente no dispositivo estão interações com infravermelho, NFC, RFID, antena para frequências sub-GHz, dentre outras. Falarei neste artigo sobre as que considero principais e como elas podem comprometer diversos ambientes quando utilizadas maliciosamente.

Interações do Flipper Zero com algumas tecnologias

Tecnologias: NFC / RFID

Aplicação: Crachás e catracas, tokens, alarmes.

As duas tecnologias trabalham com radiofrequência, a diferença básica é a forma como interagem com dispositivos. O NFC tem o foco em comunicação de curto alcance e se comunica com uma tag/dispositivo por vez, já o RFID pode ser utilizado em distâncias bem maiores e consegue interagir com várias tags simultâneas.

O recurso presente no dispositivo pode ser utilizado para realizar copiar e armazenar um crachá, ou simplesmente realizar um ataque de replay com as informações, fazendo se passar pela pessoa que teve o crachá lido pela ferramenta, bruteforce de UID em catracas e, em alguns casos até a clonagem de cartões de crédito que tenham o recursos de pagamentos contactless.

Esses recursos são, literalmente, a porta de entrada para diversas outras possibilidades trazidas pelo gadget.

Observação 1: Caso queira mais detalhes sobre todas as comunicações nativas da ferramenta há uma documentação bem completa na página de documentos do Flipper.

Observação 2: O Flipper é apenas uma ferramenta e, como diversas outras ferramentas, também pode ser utilizada para fins maliciosos. O intuito original do projeto é ser uma solução portátil e razoavelmente robusta para testes de segurança em ambientes, sem qualquer apelo para a prática de crimes.

Tecnologia: Sub-GHz

Aplicação: Alarmes, cancelas, Sistemas de segurança.

Outra forma de interação com o ambiente vem através da antena que opera entre as frequências de 300 e 928 MHz e também possui as capacidades de leitura, armazenamento e emulação das informações. Esse tipo de frequência é muito utilizada em controles de perímetros internos e externos a um ambiente, dentre as principais aplicações estão a abertura e fechamento de cancelas, controle de alarmes de perímetro (residencial e empresarial) e até alarmes automotivos. Aqui no Brasil não é raro ver salas-cofre e datacenters protegidos com tecnologias que interajam com essas frequências, o que poderia permitir um acesso a áreas ainda mais criticas do ambiente.

Como o sinal emitido pelos dispositivos tem um alcance razoável não é difícil que um criminoso consiga interagir com a frequência para copiá-la.

Tecnologia: GPIO

Aplicação: Interação com eletrônicos.

GPIO é a sigla para General Purpose Input Output que em tradução livre significa Entrada e Saida para Propósitos Gerais. Mas para que isso serve afinal?

Este tipo de recurso se popularizou bastante com o Arduino e traz duas principais funcionalidades adcionais ao equipamento, permite que o Flipper interaja com o hardware de dispositivos eletrônicos diretamente, o que pode ser utilizado para ler ou gravar informações em chips, e faz com que ele tenha possibilidade de ter novos hardwares acoplados a ele novas placas inseridas nele que forneçam recursos que anteriormente não existiam. Sem dúvida a placa mais famosa (e oficial) é a Wi-Fi Devboard que, como o nome sugere, adiciona a funcionalidade Wi-Fi ao dispositivo, permitindo que ele realize ataques como Probe e Deauth em redes próximas.

Tecnologia: BAD USB  

Aplicação: Scripts Rubber Ducky.

Esta é, na minha opinião, a funcionalidade mais perigosa presente no Flipper, a interação com o Bad USB faz com que o dispositivo seja reconhecido como um Human interface Device (HID) ou seja, o computador irá reconhece-lo como um teclado USB.

E talvez você se pergunte, o que de perigoso há nisso?

Por ser reconhecido como um dispositivo de interação humana o sistema operacional e todos os softwares internos consideram-no um dispositivo benéfico por padrão e permitem seu uso, sem restrições. Tal funcionalidade permite que scripts armazenados dentro do Flipper sejam executados como se fosse um ser humando interagindo com o teclado, e é ai que está o problema.

Esse tipo de dispositivo é conhecido na comunidade de segurança como Rubber Ducky e possui milhares de scripts prontos, além da possibilidade de criar um totalmente do zero que atenda a necessidade de eventuais cibercriminosos.

Para que tenha uma ideia do estrago que pode ser causado por este tipo de dispositivo listarei alguns dos scripts maliciosos existentes:

  • Download e execução de programas: pode rapidamente baixar e executar malwares como trojans e Ransomwares, executando-os imediatamente após o download;
  • Listagem e exfiltração de todas as redes Wi-Fi: consulta e armazena/envia todos os nomes de redes e senhas Wi-Fi salvas no dispositivo;
  • Hashdump e exfiltração: pode listar todas as senhas ou hashes do sistema operacional e armazená-las/enviá-las onde para onde for conveniente ao atacante;
  • Coleta de senha armazenadas no browser e exfiltração: pode ser adaptado para qualquer browser, ou todos simultaneamente;
  • Abertura de Shell Reverso: um dos comandos simples e rápidos, abre uma conexão reversa com qualquer host que o atacante deseje, permitindo ataques mais elaborados no futuro;
  • Acabar com o espaço de armazenamento em disco: uma bomba logica famosa que pode trazer diversos tipos de problema para o ambiente que o executa.

Todas as alternativas de interação apresentadas por este dispositivo tem grande potencial de serem extremamente nocivas caso utilizadas por pessoas mal intencionadas, ainda assim vale lembrar que o “poder de fogo” das ferramentas é bem inferior a hardwares específicos que executam cada uma destas funções mas com certeza pode trazer dores de cabeça sérias.

O principal ponto de atenção é a possibilidade de que qualquer pessoa que tenha o dispositivo possa desferir estes ataques mesmo com pouco ou nenhum conhecimento graças aos muitos scripts e tutoriais disponíveis na internet, e tendo apenas um único hardware. Sendo este um ótimo motivo para reforçar todas as camadas de segurança do ambiente que abranjam estes e outros pontos.

Caso tenha ficado com alguma dúvida ou tenha sugestões de temas relacionados à segurança da informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários.

Daniel Cunha Barbosa

Cadastre-se para receber por e-mail todas as atualizações sobre novos artigos que publicamos em nossa seção referente à Crise na Ucrânia.

Newsletter

Artigos semelhantes

Discussão