Flipper Zero: alat multifungsi berukuran saku yang dapat meretas segalanya (dan mengapa pemerintah membencinya)
Saya menonton seorang remaja berusia 19 tahun di TikTok mengganti saluran TV di sebuah bar menggunakan alat plastik berwarna oranye sementara bartender mencari-cari remote. Klip itu ditonton dua belas juta kali. Kemudian saya menonton pemerintah Kanada mengumumkan bahwa mereka ingin melarang alat tersebut karena diduga digunakan untuk mencuri mobil. Lalu saya menonton Amazon menariknya dari toko mereka. Kemudian saya menonton perusahaan di baliknya melaporkan pendapatan sebesar $80 juta pada tahun 2023.
Selamat datang di kisah Flipper Zero. $169 untuk alat multifungsi peretasan berukuran saku bagi penguji penetrasi dan para penggemar teknologi. Produk elektronik konsumen paling kontroversial sejak seseorang menemukan cara untuk melakukan jailbreak pada iPhone. Para politisi membencinya karena mereka mengira alat ini mencuri mobil (padahal tidak). TikTok menyukainya karena Anda dapat melakukan lelucon konyol dengan sinyal inframerah. Dan di balik semua kebisingan itu, terdapat alat sumber terbuka yang benar-benar berguna yang mengubah cara para profesional keamanan melakukan pekerjaan mereka.
Inilah yang sebenarnya bisa dilakukan, apa yang sama sekali tidak bisa dilakukannya terlepas dari apa pun yang dikatakan media sosial, dan mengapa seluruh pemerintah kehilangan akal sehat karena perangkat dengan gambar lumba-lumba kartun di layarnya.
Flipper Zero itu apa: perangkat keras untuk para penggemar teknologi yang suka merusak barang.
Singkirkan kontroversi yang ada, dan Flipper Zero adalah perangkat multi-fungsi portabel untuk protokol nirkabel dan sistem kontrol akses. Pada dasarnya, pisau Swiss Army untuk sinyal radio. Membaca lencana RFID. Mengkloning kartu NFC. Menangkap dan memutar ulang sinyal remote Sub-GHz. Mengirimkan kode inframerah ke setiap TV dalam jangkauan. Semua itu dari sebuah gadget seukuran permen batangan tebal dengan gambar lumba-lumba pixel-art di layar LCD-nya.
Alex Kulagin dan Pavel Zhovner meluncurkan proyek Kickstarter pada tahun 2020. Mereka berhasil mengumpulkan $4,8 juta, yang kira-kira 10 kali lipat dari target mereka. Flipper Devices Inc. mengirimkan unit pertama pada tahun 2022. Pada tahun 2025, mereka telah menjual lebih dari satu juta unit.
Inilah yang Anda dapatkan dengan harga $169:
| Komponen | Spesifikasi |
|---|---|
| Prosesor | STM32WB55 (ARM dual-core) |
| RAM / Flash | 256 KB / 1 MB |
| Menampilkan | LCD monokrom 128x64 piksel |
| Baterai | Baterai LiPo 2.000 mAh |
| Radio sub-GHz | CC1101 (300-928 MHz) |
| NFC | ST25R3916 (13,56 MHz) |
| RFID | Pembaca/penulis 125 kHz |
| Inframerah | Pemancar + penerima |
| Konektivitas | Bluetooth LE, USB-C, pin GPIO |
| Penyimpanan | slot kartu microSD |
| Ukuran / Berat | 100x40x25 mm / 104 gram |
| Sistem Operasi | FreeRTOS (sumber terbuka) |
Tombol arah dan layar kecil membuatnya tampak seperti Tamagotchi era 90-an. Itu memang disengaja. Maskot lumba-lumba berevolusi seiring Anda menggunakan perangkat ini. Semakin banyak Anda meretas, semakin bahagia lumba-lumba Anda. Konyol? Ya. Pemasaran yang brilian untuk komunitas peretas? Tentu saja.
Apa yang sebenarnya bisa dilakukan Flipper Zero?
Izinkan saya menjelaskan setiap modul satu per satu karena kemampuannya benar-benar mengesankan untuk sebuah perangkat seharga $169.
Radio sub-GHz. Antena CC1101 menangkap dan mengirimkan sinyal pada frekuensi antara 300 dan 928 MHz. Ini mencakup pembuka pintu garasi, stasiun cuaca, gerbang yang dikendalikan dari jarak jauh, bel pintu nirkabel, kunci mobil yang menggunakan kode tetap, dan puluhan protokol radio lainnya. Anda mengarahkan Flipper ke remote, menangkap sinyal, menyimpannya, dan memutarnya kembali nanti. Saya pernah melihat orang menggunakan ini untuk mengontrol gerbang di kompleks apartemen mereka setelah kehilangan remote aslinya.
NFC pada frekuensi 13,56 MHz. Flipper Zero memiliki modul NFC terintegrasi yang dapat membaca kartu tanpa kontak: kartu transportasi umum, kunci hotel, kartu identitas kantor, kartu pembayaran (sebagian). Perangkat ini dapat meniru beberapa kartu tersebut, bertindak sebagai klon. Modul NFC bekerja dengan MIFARE Classic, NTAG, dan beberapa jenis tag lainnya.
RFID 125 kHz. Kartu akses lama, gantungan kunci, dan kartu masuk gedung sering menggunakan 125 kHz. Flipper membaca, menyimpan, dan meniru sinyal-sinyal ini. Dekati pembaca kartu akses kantor Anda, sentuh Flipper Anda alih-alih kartu Anda, dan pintu akan terbuka. Berguna saat Anda lupa membawa kartu akses. Juga berguna untuk pengujian keamanan.
Inframerah. Flipper memiliki pemancar dan penerima inframerah bawaan. Perangkat ini sudah dilengkapi dengan basis data kode inframerah yang sangat besar untuk TV, AC, proyektor, soundbar, dan set-top box. Arahkan ke TV mana pun dan coba kode hingga salah satunya berfungsi. Fitur inilah yang menjadi viral di TikTok, di mana orang-orang mematikan TV di tempat umum. Tidak berbahaya, tetapi menjengkelkan.
iButton dan 1-wire. Beberapa bangunan menggunakan kunci kontak yang menyerupai tombol logam. Flipper membaca dan meniru fungsi tombol-tombol ini melalui konektor iButton-nya. Teknologi lama, tetapi masih banyak digunakan.
BadUSB. Colokkan Flipper ke komputer melalui USB dan ia akan berfungsi sebagai keyboard. Ia dapat mengetik skrip yang telah ditulis sebelumnya secara otomatis, menjalankan perintah pada mesin target. Pentester menggunakan ini untuk menunjukkan seberapa cepat serangan USB fisik dapat membahayakan workstation. Skrip tersebut menggunakan Ducky Script, bahasa yang sama dengan yang digunakan oleh USB Rubber Ducky.
Pin GPIO. Flipper memiliki pin GPIO yang memungkinkan Anda menghubungkan modul eksternal, sensor, dan alat debugging. Modul gim video (tambahan Raspberry Pi Pico) mengubahnya menjadi konsol gim genggam. Papan pengembangan WiFi menambahkan kemampuan pemindaian jaringan melalui chip ESP32. Antarmuka GPIO membuat Flipper dapat diperluas dengan cara yang tidak pernah dirancang untuk perangkat keras dasarnya.
Bluetooth. Dukungan BLE memungkinkan Flipper untuk berkomunikasi dengan ponsel dan perangkat Bluetooth lainnya. Modul ini menarik perhatian setelah seseorang mendemonstrasikan serangan spam Bluetooth Low Energy di Midwest FurFest pada September 2023, mengganggu terminal pembayaran dan, yang lebih serius, beberapa perangkat medis di daerah tersebut.
Hal yang tidak bisa dilakukan Flipper Zero (terlepas dari apa yang dikatakan TikTok)
Kehebohan di media sosial membuat Flipper terdengar seperti mesin peretasan universal. Padahal tidak. Berikut adalah hal-hal yang tidak dapat dilakukannya:
Alat ini tidak dapat mencuri mobil modern. Kendaraan yang lebih baru menggunakan kode bergulir di mana setiap penekanan tombol menghasilkan sinyal terenkripsi yang unik. Merekam dan memutar ulang kode bergulir tidak akan berhasil karena mobil telah beralih ke kode berikutnya dalam urutan tersebut. Sistem kode tetap dari tahun 1990-an dan awal 2000-an rentan. Apa pun yang dibuat setelah tahun 2005 dengan kode bergulir? Flipper tidak dapat menyentuhnya.
Perangkat ini tidak dapat mengkloning kartu NFC terenkripsi. Kartu kredit modern, kartu transit terbaru, dan sebagian besar kartu akses aman menggunakan komunikasi terenkripsi. Flipper dapat membaca UID (pengidentifikasi publik) tetapi tidak dapat mengekstrak kunci pribadi yang diperlukan untuk membuat klon yang berfungsi. MIFARE DESFire, MIFARE Plus terbaru, dan kartu bank dengan CVV dinamis aman digunakan.
Perangkat ini tidak dapat meretas jaringan WiFi secara langsung. Flipper versi dasar tidak memiliki perangkat keras WiFi. Papan pengembangan ESP32 tambahan dapat memindai jaringan dan menjalankan serangan dasar, tetapi menyebutnya sebagai peretasan WiFi adalah pernyataan yang berlebihan.
Perangkat ini tidak dapat menembus enkripsi modern. Tidak dapat melakukan serangan brute-force pada kata sandi WPA3. Tidak dapat mendekripsi sinyal yang dilindungi AES. Flipper bekerja dengan protokol yang tidak terenkripsi atau terenkripsi lemah. Apa pun yang diamankan dengan benar berada di luar jangkauannya.
Kesenjangan antara apa yang ditunjukkan TikTok dan apa yang sebenarnya dilakukan perangkat tersebut adalah sumber kontroversi terbesar. Seorang remaja yang mematikan TV di restoran bisa menjadi konten yang bagus. Seorang pentester menemukan bahwa kantor perusahaan masih menggunakan kartu akses 125 kHz yang tidak terenkripsi untuk akses gedung? Itulah kasus penggunaan sebenarnya yang penting.
Kontroversi: larangan, penyitaan, dan kepanikan pemerintah
Flipper Zero menjadi perangkat keras konsumen paling kontroversial sejak komunitas pembuka kunci menjadi populer. Pemerintah tidak menerima hal itu dengan baik.
Pada akhir tahun 2022, Bea Cukai AS menyita 15.000 unit Flipper Zero di perbatasan. Unit-unit tersebut akhirnya dilepaskan, tetapi penyitaan tersebut menandakan bahwa penegak hukum melihat perangkat tersebut sebagai ancaman potensial. FCC tidak mempermasalahkannya. Bea Cukai hanya ingin memeriksanya lebih teliti.
Amazon melarang Flipper Zero dari pasar daringnya pada April 2023, mengklasifikasikannya sebagai "perangkat penyalin data kartu." Ini hampir pasti salah. Flipper tidak dapat menyalin data kartu secara signifikan karena tidak dapat mengekstrak kunci pribadi atau CVV dinamis. Tetapi algoritma Amazon tidak memperdulikan nuansa, dan perangkat tersebut menghilang dari platform.
Regulator telekomunikasi Brasil, Anatel, menyita pengiriman Flipper Zero pada tahun 2023, memblokir impor sepenuhnya. Pembeli di Brasil harus mencari cara alternatif untuk mendapatkan perangkat tersebut.
Bandara Gatwick di Inggris menyita sebuah Flipper Zero dari seorang penumpang pada bulan September 2023. Petugas keamanan bandara tampaknya mengira itu adalah sejenis senjata. Ukurannya 10 sentimeter dan memiliki gambar lumba-lumba kartun di layarnya.
Konfrontasi terbesar terjadi pada Februari 2024 ketika Kanada mengumumkan rencana untuk melarang Flipper Zero, dengan mengaitkannya dengan pencurian mobil. Alasan pemerintah Kanada: pencurian mobil meningkat, Flipper Zero dapat berinteraksi dengan sinyal radio, oleh karena itu Flipper Zero adalah alat pencurian mobil. Para peneliti keamanan menunjukkan bahwa Flipper tidak dapat mengalahkan kode bergulir yang digunakan di mobil mana pun yang dibuat dalam 20 tahun terakhir. Usulan pelarangan tersebut kemudian ditarik kembali dan menargetkan "penggunaan ilegal" daripada perangkat itu sendiri.
Buletin kepolisian South Dakota Fusion Center dari Agustus 2023 memperingatkan bahwa kelompok ekstremis mungkin menggunakan Flipper Zero untuk menyerang infrastruktur listrik. Flipper Devices menanggapi bahwa sistem kontrol daya modern tidak rentan terhadap jenis sinyal yang dipancarkan oleh Flipper.
Semua kepanikan ini memiliki benang merah yang sama: regulator yang tidak memahami teknologi tersebut tetap mengaturnya. Flipper Zero mengungkap ketidakamanan yang sudah ada. Alat ini tidak menciptakan kerentanan baru. Jika kantor Anda menggunakan lencana RFID yang tidak terenkripsi dari tahun 2005, itu adalah masalah keamanan kantor Anda. Melarang alat yang mengungkapnya tidak akan memperbaiki masalah keamanan tersebut.
Firmware kustom: Unleashed, Momentum, dan komunitas
Firmware resmi Flipper Zero sengaja dibuat konservatif. Firmware ini menghormati batasan frekuensi regional dan menghindari fitur-fitur yang dapat diklasifikasikan sebagai ofensif. Namun, beberapa pengguna menginginkan lebih.
Firmware Unleashed menghilangkan penguncian frekuensi regional dan menambahkan protokol sub-GHz yang tidak termasuk dalam firmware bawaan. Momentum (sebelumnya Xtreme) melangkah lebih jauh dengan fitur tambahan, animasi, dan dukungan protokol yang dikontribusikan oleh komunitas. Firmware kustom ini bersifat open source, dikelola oleh komunitas, dan mudah dipasang melalui koneksi USB Flipper.
Toko aplikasi Flipper (diluncurkan Juli 2023) menambahkan lapisan lain. Pengembang pihak ketiga membuat aplikasi yang memperluas fungsionalitas perangkat. Mulai dari alat pemindai Bluetooth hingga emulator game hingga utilitas RFID khusus. Slot kartu microSD menyimpan data tambahan, skrip khusus, dan cadangan firmware.
Ekosistem sumber terbuka inilah yang membedakan Flipper dari perangkat keras pengujian penetrasi berpemilik yang harganya $500-$3.000. Alat RFID Proxmark profesional harganya $300+. HackRF One untuk radio yang ditentukan perangkat lunak harganya $300. USB Rubber Ducky harganya $80. Flipper melakukan 80% dari apa yang dilakukan alat-alat ini, dalam satu paket seharga $169, dengan komunitas yang terus menambahkan fitur-fitur baru.
Komunitas Flipper di Discord dan Reddit adalah salah satu komunitas peretasan perangkat keras yang paling aktif. Orang-orang berbagi skrip kustom, penemuan protokol, dan panduan kasus penggunaan setiap hari. Perdebatan antara firmware resmi dan kustom mencerminkan argumen jailbreak vs iOS standar. Firmware resmi membuat Anda tetap legal di mana pun dan mendapatkan pembaruan rutin dari perusahaan. Firmware kustom memberi Anda alat yang sengaja tidak disertakan oleh perusahaan. Sebagian besar pengguna serius menginstal Unleashed atau Momentum dalam minggu pertama. Risikonya: firmware kustom dapat melanggar peraturan radio lokal karena menghilangkan batasan frekuensi yang membuat versi resmi tetap sesuai di berbagai negara.
Siapa sebenarnya yang menggunakan Flipper Zero (dan siapa yang sebaiknya menggunakannya)?
Lupakan para pelaku prank TikTok. Berikut adalah pihak-pihak yang mendapat manfaat dari memiliki perangkat tersebut:
Para penguji penetrasi menggunakannya di setiap penugasan. Penilaian keamanan fisik memerlukan pengujian kloning kartu identitas, titik akses nirkabel, dan permukaan serangan USB. Flipper mencakup ketiganya tanpa perlu membawa tas penuh peralatan khusus.
Administrator TI menguji sistem mereka sendiri. Apakah sistem kartu identitas NFC kantor menggunakan enkripsi? Apakah sistem AV ruang konferensi menerima perintah inframerah apa pun? Dapatkah seseorang berjalan ke terminal lobi dan menjalankan skrip BadUSB? Flipper menjawab pertanyaan-pertanyaan ini dalam hitungan menit.
Para pelajar dan penggemar hobi mempelajari protokol radio, peretasan perangkat keras, dan sistem tertanam. Flipper adalah alat pendidikan yang cukup mendalam untuk mengajarkan konsep keamanan yang sebenarnya. Pin GPIO-nya saja sudah mengubahnya menjadi penganalisis logika dasar dan debugger protokol untuk proyek-proyek elektronik.
Para penggemar otomatisasi rumah dapat mengontrol perangkat dari berbagai merek dengan satu alat. Jika garasi Anda menggunakan 315 MHz, kipas langit-langit menggunakan inframerah, dan gerbang depan menggunakan 433 MHz, Flipper dapat menangani semuanya.
Orang-orang yang sering kehilangan remote control. Serius. Program Flipper dengan kode inframerah TV Anda dan sinyal Sub-GHz gerbang Anda, dan Anda tidak akan pernah membutuhkan remote lagi.
Para peneliti keamanan yang mempelajari kerentanan IoT menggunakannya sebagai pemindai lapangan cepat. Berjalanlah melalui sebuah gedung dan dalam 30 menit Anda telah memetakan setiap protokol nirkabel dalam jangkauan: lencana mana yang menggunakan enkripsi, pintu mana yang menggunakan RFID lama, ruang konferensi mana yang memiliki sistem AV yang tidak aman. Audit tersebut dulunya membutuhkan ransel penuh peralatan. Sekarang, alat ini muat di saku.
Angka penjualan berbicara sendiri. Lebih dari satu juta unit dikirim pada tahun 2025. Pendapatan meningkat dari $25 juta pada tahun 2022 menjadi $80 juta pada tahun 2023. Pertumbuhan itu berasal dari permintaan nyata di pasar pengujian penetrasi, pendidikan, dan hobi, bukan hanya pembelian impulsif di TikTok. Banyak dari unit tersebut akhirnya masuk ke anggaran keamanan perusahaan di samping lisensi Burp Suite dan instalasi Kali Linux.
