Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal

20/02
“Flipper Zero” by Turbospok is licensed under CC BY-SA 4.0

Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?

De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.

Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.

Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.

In Canada is het een stuk negatiever:
On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”
Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.

In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:
[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.
Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.

Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.

In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.

In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.

Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.

Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.

Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.

Arnoud

Het bericht Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal verscheen eerst op Ius Mentis.

Datum: dinsdag 20 februari 2024, 08:13
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Canada

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry