Flipper Zero Access Control Hacking Tested
With half a million units sold and climbing, plus tens of millions of video views showing hacking all sorts of systems, Flipper Zero has become a sensation, but what can it actually hack?
While scores of videos exist online, many of them are exaggerations or simply wrong or fail to cover key access control technologies that professionals care about.
We tested the following types:
- Prox Cards (125 kHz)
- iClass with Standard Keys (13.56 MHz) using the Picopass app (separately downloaded)
- Mifare Classic/Ultralight (13.56 MHz) without Private Keys
- iClass SE/Seos (13.56 MHz)
- Mifare Classic (13.56 MHz) with Private Keys
- iClass (13.56 MHz) with Elite Keys, without access to the associated reader
- iClass SE/Seos (13.56 MHz) with Elite Keys
- Mifare Desfire Ev1
Finally, we examine the firmware versions and hardware add-on options available that impact performance and hacking capabilities.
We include a 6-minute and 30-second video showing how this worked across each type.
Executive *******
**** ******** **** *** ******* **** could ****/*****:
- **** ***** (*** ***)
- ****** **** ******** **** (**.** ***) using *** ******** *** (********** **********)
- ****** *******/********** (**.** ***) ******* ******* Keys
** ******** **** ***** ** *** SAM *** *** ****** *** (********** downloaded), ** *** **** *** **** to * ********* ******:
- ****** **/**** (**.** ***)
******* ******** ******* ********** ******** (**** SAM) *** ******** (******), ******* ****** read ****** **/**** *****.
** ******** **** ** ***** *** copy/clone:
- ****** ******* (**.** ***) **** ******* Keys
- ****** (**.** ***) **** ***** ****, without ****** ** *** ********** ******
- ****** **/**** (**.** ***) **** ***** Keys
- ****** ******* ***
Flipper **** ****** ******* ******* ********
** ****** ******* **** ************* *** access ******* *******, ************* *** ******'* capabilities ***** ******* ********** *******.
Prox **** ****/*****
******* **** *** ****, *****, *** write **** ***** ***** *** *****-** antenna. **** ******* ********* ******* *** clone *** ****** **** *********** ** verifying *** **** **** **** ** HID ******.
****** ****** ** *** **** ****** used****** *** **** ***** *** ** accepted ** *** ******** ** ****** control *******. ****** ** *** **-*** standard ****** **** *** ****** ****, eight ******** **** ****, *** ** card ****** ****.
iClass **** ****/***** *** *********
******* **** *** ****, *****, *** write ****** ***** **** ******** ******* using*** ******** ***, ***** ** ******** **** ********* firmware ******** ********* ***** ** *** report, ** ** * ******** ******** through *** ******* *** *****. **** testing ********* ******* *** ***** ******** keyed ****** *********** ** ********* **** data **** ** *** ******.
*** ****** *********** *** **** ** downgraded ** * **** **** *** same ** ********.
******* *** **** ** **** ** write ****** ***** ** ********* *******, including ****** **** ***** ****, ******** entered ** *** ****. *** **** can ** ******** **** ****** ****** readers ****** ******* *********** **** *** ******** ***, ** if ***** ** *** ****, **** can ** ******** *******. *******, ** is ******** ** ****** ***** **** in *** ***** ******* (*.*., ***** readers).
iClass ** / **** **** **** *** *********
**** ********** **** ********** *** *********** **** ******* **** *** ************* ****** *** ***** *****.
***** *** ****** *** *** ** HID ***, ******* *** **** ****** SE/Seos ***** **** ******** **** *** save **** ** ******, ****, ** Mifare ******* *****. *** ***** ***** can ** ******** ** ****** **** rewritable *****, **** ******* *********** *** ID ** *** ******** ***********.
******** ******** ******* ***** **.** *** SE / **** ** ********** ** Cracked *** *** *** ********* ******, *** ********* ****** ** ****** format ******** * ****** *************, ** both ****** *** **** *** **.** MHz *********.
****: **** **** ******* * ******** report ** ****** ** *** ****** weeks, ********** *** ***'* ******* *** how ** ******* ******* ** **** iClass **/**** *****.
****** ********* *** * *** ***** saving **-*** *********** ** **** **-*** and ****** *** ****** *********** ** one ****. **** ***** *** *** by ******** ********** *** ***-****** *********** to ****** ****** *** ******** *** prox ********** ** *** **** ** obtain *** ********* ********** ** *** Seos ****. *** ********* ********* ** is ******* ** * *** *** this ***.
Mifare *******/********** ****/*****
****** *******/********** *********** *** ** **** and ****** ** ******* **** ** not **** ******* ****. ********, ******* Mifare *******/********** ************ **** ** ******* IDs, **** ****** ******* *******, ******* cards, *** ***** ********* *** *** privately *****.
****** *******/********** ***** *** ***** ********* keyed *** ********** **** ***** (*.*., *******), ***** *** *****, *** ******** payment *****.
*** ******* *** ****** ** ******* keys * ****** *******/********** ********** ****, the ****** ** **** ** ** practically **** ****. **** ***** ***** some ***** *** ***** (* ** 4 ******* ****) **** ****** ** the ***** *** *** ****** *** could *** ***** ** ********** **** lock *** (** ** ** ******* keys) **** **** ****** ** *** card *** *** ****** *** ** extended ******, ** ***** ***** (**** 4 *** ** ** **** *****). Flipper **** ****** ******* **** *** private **** ** ******* *** ********** and *** ****** *********** **** ***** *** ***** ***********.
Mifare ******* *** ****
***** ******* ***** **** *** ******* card, ** *** *** ******* *** PACS **** ****** *** **** *** did *** ************ ****/***** ** *** initial *******. *** **** **** ****** the ******* *** ******** ******* ******* was ******** ***** * ******** ****.
** **** ******** ******* ******* *********** with ******* *** ******** *** ****** the ****** **** *** ********, ********* Desfire *** *** ***.
Flipper **** ***** *** ******** ********
******* **** ** ****** ** $*** on*** ******** ********** **** ******** * *** ***** in *** ***. *** ***** **** to ******** * ******** ** **** for ******* ******* ** **** *** full ************* ** *** ******. *** Flipper **** ** ********* ** *** China *** ******** ********** ******** ** its ***, ******* "********** *** ***, multi-tool *********** ******."
Official ******** ********* ******** *************
***** ***** ********* ******* **** ******** ***** *** qFlipper ****** *** ** ** *** ****** app,*** ******** ***************** **** ******** ************* *** ** legal ***********. *** *******, ***** ******* "** ******* ** ********* ******* ** all *********** ** *** ***-*** ***, 387-464 ***, *** ***-*** *** *********** bands," ** ** ********** ** ******* ranges ****** ********* ******* (*.*.***.** - ***.** *** /***.** - ***.** *** ** **, and***.** - ***.** *** /***.** - ***.** *** /***.** - ***.** *** ** *** US).
******* ***** ******* ******** ******* ********** hardware ***************, **** ** ***-*** ******** frequency ************, *** **** ****** ******* keys ** *** ********** (*.*., ****** Classic ****). *** ********** ******** *****, such ** *********, ****, "**** ******** is *** ************ ******** **** *** is *** ***** *** *** ******* activity/purposes," ************ *** ******** *** ** illegal **********.
*** ********** ******* ******** *** ********** firmware *********** ** ***** ** **********-*********** ****** ****, ********* ********* *************** ******** ** the ******** ********.
** **#*,
***** ******* ***** ** *** "****" Apple ****** ***********, ** **** ***** the *** ********* ** *** ***** Wallet *** **** *** ******* *** usable ****. **** ** ** ***** showing *** **** **** **** ** Apple ****** ****** **********:
** ********* **** ***** ******* ***** the ****** ** ******* **** ***, it **** *** ******* * ********** handshake **** *** ****** *** **** not **** ****** ** *** ****. I **** **** *** ***** *******.
**** ** *** ***** ******* *** door ******** **** ***** ****** (*** light ***** *** ****** ***** ***), and ******* *** ********* *** **** (the ***** ***** **).
* **** *** **** *** *********** about ****-***** "*********" **** **** ****.
*** *** ******** **** ********* ** determine ******* *** ********-**** ** *** Bluetooth *********** *** **** ** **** with **** ********* **********?
** *******,
** **** *** ****** ********* ******** with *******; *******, ** *** ********* testing *** ******* ** ******* ******** in*** ******* *** *** ****** *** DEF *** **** ********.
** *** ******* ******* **** ****** Seos ***********, ******* *** *** **** to **** ****.
* *** * *** ** ******** on *** ******* **** (*** ******** like **) **** *** **** ****** and ******** **** **** ** ****. I *** *** ** ***** **** how **** *** ******* *** ******* because ** *****'* ******* *** ******. A *** ** ***** ******** **** negative ********* ***** **** **** ** thing ***** *****, *** **** ****** never *** ** **** * ***** of ** **** ** ****** ************ to ******** ** ********. **** ** do **** ****** * *** *** mouse ****. **** **** ****** ******* systems **** ****** **** **** ******** over * ****** *** ** ******* that ****** ****** *** ***** *** to ***** **** ** ******** ** systems **** *** *** **** *** alternatives ** **'* * ****** ****'* poorly ********** *** ****** *** *********** of ***********.
* ****** ******* **** ********* *******. Thanks *** ****** *** **** ** test *** ***** ** ** ****.
***** ***** ******* ***** ***'* **** quite ** ********** ** * **** our ***** ******** *** ****** ** us ***** * ** * ***** ago ***** ********* **** * *** CON **********. * ***'* ******** **** the **** ***, *** ****** **** just ***** * *****, *** **** was **** ** ******* *** **** it **** *** **** *** ******* of ********* **** ******* ************ ** a ***** ***** ****** ** * reader, ******* ********** ***** ** ** found ****.
*** ****** ****** ** ******* * lower ******** ******, **** ***** ***** the **** ** ******** *** **** number **** ** ** *** ******** to ** **** ** *** **** (which *** **** ** ******, ** the **** # *** ****** ******* directly ** *** ****), ***** ***** you ***** **** *** **** ** a ****** *** ***** *** ***** force ******, ***** *** **** ***** emulate *** **** ** * ****, starting **** *** *********** **** #, and **** ******** ** **** **** as **** ** *** ***** ****** would *****. **** **** ********* ** the **** **** **** ***** *** ordered ** * ********** *****.
** ******* ********:
- *** *** ***** *** ***** (**** #1000), ******* ****, ******** ***********.
- ********* ********** ***** ***** *** **** tool ** **** ***** ******.
- ********* ********** ***** * **** **** a ***** ****** ** ***** ******.
- **** ******** **** #****, #****, #****, #1003, #****, #**** (** ***** ***** the **** ******** *******), **** ******* each ******** **** ***** * **** second.
- ********* ********** ****** #**** ** * valid *****, *** **** ********* *** attack.
- ***** **** ***** ** ***** ***** attack ****** *******, **** **** ** seconds
****** ******* **** ***** **** ****** something ****:
- ****** ******: *** *** [**** *****]
- ****** ******: *** *** [** ****** rule]
- ****** ******: ******* **********
- ****** ******: *** ***** [******** **********]
- ****** ******: *** ***** [*** ** schedule]
- ****** *******: ***** ****
******* **** *** ******* **** *******, you ** ***** **** **** * lost ** ****** ***** **** ** reported *********** **** ********* *** ************ deactivated. ** ****** **** ***** ***** tool ***** *** **** ** *** if **** ************ **** * *** standard **** ******, ***** ***** ** why * *****'* ***** ******* ***** that **** ***** *** ******* ****/****.
*** ** ********?
** **** ** ********* * ****** on ********, ********* *** ************. ** the *********, ** **** *********** *** of *** **** ************ ** ******** development,*** ****** ********* **** ************* ********.
****** ********* *** * *** ***** saving **-*** *********** ** **** **-*** and ****** *** ****** *********** ** one ****. **** ***** *** *** by ******** ********** *** ***-****** *********** to ****** ****** *** ******** *** prox ********** ** *** **** ** obtain *** ********* ********** ** *** Seos ****. *** ********* ********* ** is ******* ** * *** *** this ***.
** **** ********* **** **** *** has **** *****, *** **** **** is ********** ** ****, *** **** data ******* *** ******** **********.
**,
** ***** *** ********** **** **** Communications ******* *** *** ***********?
******,
******
** ******,
** *** *** ***** *** *** readers *** *********** (*.*., ****), ***** will ** ********** ** ******* ** Flipper ****.
** *** *** **.** *** / NFC ******* *** ***********, *********** *** clone **** ** ***** ************. *********** include ****** ******, ****** **, *** Seos, *** ********* ** ***, *** Mifare *******, ****** ****, ****** **********, DesFire ***, ***, ***, ***. ********* by *** (****** *** ****** ******* *******).
******* ***** ***********, ******* **** *** clone ****** ****** *** ****** *******, as ********* ** *** *******.
**,
**** **** ******* *** ** **** might ** ******** ** ****. * asked **** ** ******* ** **** information ** *********. **** ***** **** once * *** *********.
******
** *** *********, ******* *** ** not *******, *** ******* ****** ***** ev2 ***.
*** ** **** *** ****** **** Pyramid **** *********?
** *****, ** **** *** ****** that ********** **********, *** **** ** research, ********* **** *********** ********** (*********) to **** ***** *********** ****** ** copy.
***** ***** ************** ******* ** ******* ********** ** ******* ******* *** **** it, ***** *** *********** ******* ** copy **** **********. **** ** *** pyramid ******** ** *******, **** ****** for****/**** **********, ****************** ******** **** ********* ** ******** *** **** *************.
** *** ***** ******* **** *** copy **** **********, ***** ** *** example.* ****** **** **** **** **** details*** *** ** ***** ** ***** Pyramid **** ********* (******* ******* ***). I ******** *** ***** *****:
******* ****** ** **** ** ** to *** **. ******'* *******.
*** **** ** ****** ******* ********/**** tools, ************ ** ****** ******* ******** *****.
**,
*** *** ******* **** ***** *** Coporate **** *****, ************ ** ***?
** **#*,
** ***** *** ********* **** *****, the ******** ***** **** *** ********* 1000 **** **** *** ********** ******* the ***** *** *** *******.
*** *** ** ******** *** *** those **** ** ** **************** ** ****** ****** ***** *** readers *** **** **** *** ******. However, ** *** *** ***** ****** SE ******* ** *****, ******* ****** cannot ******* *** ****.
******* ****** ***** ** *** ******** disclosed ************* **** *************, ***** ** an ******** ***** ****** ** * configuration ****, **** *** ******* *** keys *** ***** *****.
*** ********* **** ******** *************** ** Configuration *****
** ****,
*** ********* **** ** ****** ** just *** **** ******, *** *** communication ***** ********* ***** *** ** keys ********, **** **** ****** *****, H10304 *****, ***.
**** *** **** ******** ** *** card ********** ********.
**** ****** ** ********* ** *** HID ************, ******, ****** ******, ****** SE *** ****, *********, ** *** have * ****** ****** **** **** Corp **** ** *** ******, ** long ** *** ******* **** *** read ** ****, *** *** **********.
***** *******.
* **** ************* ** *********. *** writing ****** ****** ** *** **** can ** ****, *******, *** ***** shows *** *** **** ** **** the **** *** *** *** ****** SE.
** * ******* *********?
** **#*, ** ****** *** ******* can **** ** *** **** ***** *** ****** *** ***** **** HID **** *** ******* ****.
* ****'* ******* **** *** ****** a **** ***... *** *** **** to *** * *** *** ** the **** *****?
*** ******* **** **** ***** ** an ****** **** *** **** / iCLASS *** ******** *** ** *** available ***.
**** *** ********* ***** *** ******* Zero **** *** **** / ****** SAM
** ** ********? * ****'* ****** a *** ** **** *****.
*** ***** **** ** *** *** on *** **** *****. ***** *** some *** ************* ********** *** *** *** **** *** NARD *****. *************, *** *** **** use * ***** ***** ****** ******* of ****.
**** ** *** **** ** ******:*** *** ****** *** ***** **** HID **** *** ******* ****
*** *** ******* ******* **** ****:******* **** ******** *.* ******
* ********** **** *******. **** **** weekend ** ****** *** ******* ****** with **** *** ****** ** ** can ****/******* ****** ***** **** *** stored ** ***** ****** **** ** unofficial ********. *'* ** ******* ** this *** ** **** *** ***** wallet *** *********** ** ****?