Dobbiamo parlare dell'iCopy-X.

Dobbiamo parlare dell'iCopy-X. Sono passati tre anni da quando ha ricevuto un aggiornamento.

Le promesse di un Proxmark open-source portatile di ultima generazione sono svanite?

Il prodotto è stato abbandonato?

È ancora un prodotto indispensabile per i pentester?

Siamo andati in Cina, ci siamo seduti con gli sviluppatori e abbiamo le risposte.

L'iCopy-X è stato lanciato nel 2021 come strumento di clonazione RFID automatizzato specificamente per "fabbri, proprietari e altri professionisti".

Si è subito capito il suo potenziale per i pentester, i ricercatori RFID e gli auditor di sicurezza: un Proxmark 3 completamente autonomo, alimentato a batteria e stabile. Lo schermo, l'interfaccia utente e i pulsanti hanno reso semplici e veloci operazioni precedentemente complesse come "clonare questo badge sconosciuto", ma senza sacrificare la potenza: gli utenti avanzati potevano connettersi via CLI direttamente al client Proxmark3.

Questo duplice utilizzo ha fatto sì che iCopy-X sia stato rapidamente adottato come "strumento indispensabile" nella comunità RFID. L'iCopy-X non è mai stato open-source, ma il dispositivo era convincente e il team prometteva "aggiornamenti costanti del firmware" e il rilascio di un "kit di sviluppo open-source", per consentire agli utenti di "modificare la logica" e "aggiungere nuove funzionalità all'interfaccia grafica".

Cinque anni dopo, tuttavia, queste promesse non sono state mantenute. Mentre il team di sviluppo ha rilasciato una quantità minima di codice per rispettare la licenza GPL di Proxmark, l'interfaccia utente, la logica e i livelli di elaborazione sono rimasti closed source.

Il divario tra il codice mainline di Proxmark e il fork di iCopy-X è aumentato; nel 2022, Lab401 ha collaborato con iCopy-X per aggiungere lo scripting LUA all'interfaccia utente, e questo è stato l'ultimo aggiornamento che il dispositivo ha ricevuto.

In Lab401 abbiamo alcune regole d'oro: fornire raccomandazioni di cui i clienti possano fidarsi e non deludere mai i clienti. Abbiamo venduto iCopy-X come il dispositivo Proxmark ideale: convenienza senza sacrificare la potenza. Nel corso del 2025, ci siamo posti la domanda: qual è lo stato dell'iCopy-X? Il prodotto è stato abbandonato? Possiamo onestamente consigliarlo ancora come un prodotto indispensabile per i pentester?

Siamo volati in Cina per sederci con gli sviluppatori - due volte - e discutere del prodotto e del suo futuro.

Avevamo pianificato di orientare la conversazione su come l'open-source avrebbe "salvato" il prodotto, messo a prova il prodotto per il futuro e permesso al prodotto di evolversi.
Quando abbiamo iniziato a discutere, siamo stati onestamente un po' umiliati: ci eravamo persi gran parte del quadro. Avevamo dato per scontato che il team di iCopy-X avesse ignorato i _nostri_ problemi, ma eravamo anche piuttosto ignari dei _loro_ problemi, in particolare:

- L'iCopy-X è stato costruito per i fabbri, non per i pentestellati. E in generale, i fabbri sono soddisfatti del prodotto. Inoltre, rappresentano una parte significativa delle vendite e i mercati chiave non sono quelli che ci si aspetterebbe.

- Il rischio maggiore per un produttore è quello di investire nello sviluppo per poi vedersi soffiare il mercato dai clonatori. L'iCopy-X ha resistito ai clonatori per più di 4 anni: un risultato impressionante, dovuto in gran parte alla sua politica di closed-source.

Tuttavia, la sorpresa più grande è che il team sostiene pienamente l'idea dell'Open Source - ma c'è un problema di implementazione.

La maggior parte dello sviluppo di iCopy-X è stata impiegata per rifattorizzare la base di codice di Proxmark: renderla gestibile tramite l'interfaccia utente e, cosa ancora più importante, stabile.
Proxmark è un dispositivo di ricerca: i pentester possono accettare qualche crash o incongruenza, il fatto che si colleghi e si scolleghi e altre stranezze.
iCopy-X è venduto come prodotto mainstream: i suoi clienti target (i fabbri) hanno bisogno di coerenza e stabilità.

Se si adotta l'approccio di mettere il firmware Proxmark mainline sull'iCopy-X, si perderà l'interfaccia utente, la compatibilità con il middleware che trasporta i dati tra il client Proxmark e l'interfaccia utente e la stabilità dell'iCopy-X. Questi aspetti dovrebbero essere reimplementati.

Se si sceglie la strada opposta e si porta il codice di iCopy-X nella base di codice di Proxmark, a parte l'arretrato di anni di commit da unire, si chiederà anche alla comunità di Proxmark di mantenere due diverse configurazioni hardware - entrambe sembrano irrealistiche.

A questo punto, forse vi starete scervellando per urlarci che abbiamo tralasciato qualcosa di fondamentale, che c'è una soluzione facile, o che in realtà l'iCopy-X sarebbe il dispositivo perfetto, ma manca solo il "whatever".

E questa è un'ottima notizia, perché è la stessa conclusione a cui siamo arrivati: lasciamo che sia la comunità a decidere cosa deve essere fatto.
Se ritenete che a iCopy-X manchino delle funzioni, diteci quali sono.
Se ritenete che ci sia qualcosa di super ovvio che ci è sfuggito, diteci qual è.
Se avete qualcosa da dire e volete essere ascoltati dagli sviluppatori di iCopy-X, ditecelo.

Il posto migliore per lasciare commenti è ilvideo youtube - ma potete anche inviare un'e-mail a support@lab401.com e noi raccoglieremo i risultati.

Il nostro obiettivo è quello di raccogliere le funzionalità mancanti più richieste, finanziare lo sviluppo e distribuire i nuovi aggiornamenti. Questo obiettivo è stato pre-negoziato con il team di iCopy-X e riteniamo che sia non solo realizzabile, ma anche realistico per tutte le parti.

Riconosciamo che "funzioni mancanti" è molto meno di rilasciare il codice sorgente completo e lasciare che la comunità scelga la propria avventura, ma anche se siamo profondamente investiti nella soddisfazione dei clienti: iCopy-X non è il nostro prodotto e gli interessi di tutti, compresi gli sviluppatori, devono essere considerati.

Ora sapete cosa sta succedendo con iCopy-X. Il nostro obiettivo è quello di avviare un dialogo con tutti i soggetti coinvolti: la comunità, i collaboratori, i clienti, gli sviluppatori e i responsabili delle decisioni.

Se avete un'opinione su iCopy-X, fatela conoscere nel video su youtube.

Il team di sviluppo di iCopy-X leggerà questi commenti e se ci sono altre discussioni interessanti (reddit, ecc.), fatelo sapere. Invieremo anche delle e-mail ai clienti di iCopy-X per ottenere un feedback.

Quindi fateci sapere e fino ad allora rimanete al sicuro.