What is Matter and what's the QR for?

Matter is the cross-vendor smart-home standard from the Connectivity Standards Alliance (CSA, formerly Zigbee Alliance), with founding backing from Apple, Google, Amazon, Samsung, and a long list of device makers. A Matter device works with any Matter-capable hub regardless of brand: an iPhone in HomeKit, a Google Nest Hub, an Amazon Echo, a Samsung SmartThings hub. The QR on the back of the device (or in the box, or on the rating label) is the onboarding code. Your phone's smart-home app scans it and the device gets commissioned into your Matter fabric, assigned an operational credential, joined to your network, and made addressable by every other Matter controller you have.

What's encoded inside the QR?

A Matter onboarding QR uses the MT: URI scheme followed by a Base38-encoded payload. Decoded, the payload contains: version (3 bits), vendor ID (16 bits, CSA-assigned per manufacturer), product ID (16 bits, manufacturer-assigned per model), custom-flow indicator (2 bits), discovery capabilities (8 bits: BLE / IP / soft AP / Wi-Fi PAF), discriminator (12 bits, used during discovery to disambiguate multiple unpaired devices), and a 27-bit passcode (the secret used in the PASE, Password-Authenticated Session Establishment, handshake). Optional TLV fields can extend the payload with serial numbers and rendezvous information.

Is it dangerous if someone photographs my Matter QR?

It depends on whether the device is already commissioned. Before commissioning: yes, somewhat. Whoever has the QR plus physical proximity (BLE range, or on the same Wi-Fi/Thread network) can commission the device into THEIR Matter fabric, locking you out until you factory-reset it. After commissioning: no. The QR's passcode is only used during the initial PASE handshake; once the device is paired, it's burned and the device only accepts operational credentials issued by your fabric. So the safe practice is: peel off and store the QR sticker before letting strangers (movers, repair people, AirBnB guests) into the home, or commission the device IMMEDIATELY when it's unboxed so the window is short.

How is a Matter QR different from a Wi-Fi QR?

Different layer, different purpose. A Wi-Fi QR (WIFI: scheme) tells your phone to join a specific Wi-Fi network, SSID, security type, password. A Matter QR (MT: scheme) tells your smart-home app to add a specific device to your home, vendor, model, discriminator, pairing passcode. The Matter device will then independently join Wi-Fi or Thread using credentials your hub passes to it during commissioning. They serve different layers of the same setup flow.

What about Thread Border Routers and Matter-over-Thread devices?

Many Matter devices (door locks, contact sensors, motion sensors, low-power bulbs) use Thread as their network instead of Wi-Fi. Thread is a low-power mesh radio. The Matter onboarding QR is the same regardless, vendor / product / discriminator / passcode. The commissioning hub (your Apple TV, Google Hub, Echo Hub) acts as a Thread Border Router, joining the device to your Thread network and exposing it on your Matter fabric so it's addressable from any controller in the home.

Standard · Commissioning dispositivo Matter

QR di commissioning dispositivo Matter

Quando scansioni il QR sul retro di una lampadina smart, di una presa intelligente, di un sensore di contatto o di una serratura con il logo Matter, il tuo telefono esegue un handshake in cinque fasi che aggiunge il dispositivo alla tua casa. Il QR contiene tutto ciò di cui il tuo hub ha bisogno per trovare quel dispositivo specifico: vendor, modello, un discriminatore per-dispositivo e un passcode di abbinamento monouso, più un elenco di come il dispositivo può essere raggiunto via etere (BLE, Wi-Fi, Thread). Ecco cosa è codificato, cosa può trapelare e perché il QR è importante in un modo che i QR Wi-Fi non lo sono.

Ispeziona un QR Matter → Tutti gli standard →

Qual è lo standard

Matter è pubblicato dalla Connectivity Standards Alliance (CSA), ex Zigbee Alliance, con il supporto fondativo di Apple, Google, Amazon, Samsung, Comcast e una lunga lista di produttori di dispositivi. Matter 1.0 è stato rilasciato nell'ottobre 2022; Matter 1.4 è la versione attuale all'inizio del 2026, con fotocamere, gestione energetica, caricatori per veicoli elettrici e dispositivi per la gestione dell'acqua aggiunti dalla 1.0. La specifica copre il protocollo a livello applicativo, la sicurezza, il commissioning e il formato QR di onboarding.

Il formato del QR di abbinamento fa parte della Matter Core Specification, sezione "Onboarding Payload". Esistono tre forme dello stesso payload:

QR code con prefisso MT: seguito da un blob codificato in Base38. Questo è quello che la maggior parte delle app preferisce perché è più veloce.
Codice di abbinamento manuale: una stringa numerica a 11 cifre per i casi in cui il QR è danneggiato o il dispositivo è troppo piccolo per un QR. Puoi digitarla.
Tag NFC con lo stesso payload Base38. Meno comune sui dispositivi consumer ma sempre più usato sulle serrature smart dove il tocco per abbinare è più ergonomico.

Tutti e tre codificano gli stessi campi con lo stesso modello di fiducia: sono intercambiabili dal punto di vista del commissioning.

Cosa c'è effettivamente nel QR

Il payload Base38 dopo il prefisso MT: decodifica in una struttura binaria compatta. I campi obbligatori:

Versione (3 bit)

Sempre 0 per i dispositivi attuali. Riservato per future revisioni del protocollo.

Vendor ID (16 bit)

Identificatore assegnato dalla CSA al produttore. Ogni organizzazione membro ottiene un vendor ID univoco; 0xFFF1–0xFFF4 sono riservati ai test / sviluppo. Il nostro scanner risolve il vendor ID nel registro CSA quando noto.

Product ID (16 bit)

Identificatore assegnato dal produttore per il modello specifico. Combinato con il vendor ID, identifica univocamente uno SKU (es. "Eve Energy 2a gen").

Flusso personalizzato (2 bit)

0 = commissioning standard (basta abbinarlo), 1 = azione utente richiesta (es. premere prima un pulsante sul dispositivo), 2 = flusso personalizzato (passaggi di configurazione specifici del produttore). Determina quale interfaccia mostra l'app del tuo hub.

Capacità di discovery (8 bit)

Una bitmask di come il dispositivo può essere scoperto nel suo stato non abbinato: BLE (il più comune), IP di rete esistente (già sulla tua Wi-Fi o Ethernet, raro per dispositivi consumer), Soft-AP (il dispositivo ospita una rete Wi-Fi temporanea), Wi-Fi PAF (discovery tramite Public Action Frame, più recente).

Discriminatore (12 bit)

Un breve identificatore che il dispositivo pubblica durante il discovery affinché il tuo hub possa selezionare il dispositivo giusto non ancora abbinato quando ce ne sono diversi nel raggio BLE. Non è segreto: è il segnale "questo è quello che ho appena disimballato".

Passcode (27 bit)

Il segreto condiviso usato nell'handshake PASE. Il telefono dimostra al dispositivo di possedere questo passcode senza inviarlo in chiaro via etere. Una volta completato il commissioning, il passcode non è più utile. Range: da 1 a 99.999.998 (alcuni valori vietati dalle specifiche per evitare codici ovviamente indovinabili come 11111111).

Estensione TLV (opzionale, lunghezza variabile)

Campi opzionali che possono estendere il payload con il numero seriale del dispositivo, informazioni di rendezvous e altri attributi specificati dal produttore. La maggior parte dei dispositivi consumer non li include.

L'handshake di commissioning (perché il design del passcode è importante)

Il flusso di commissioning di Matter è PASE → CASE:

Discovery. Il tuo telefono trasmette scansioni BLE (o ascolta sulla Wi-Fi locale); il dispositivo non ancora abbinato sta pubblicando con il suo discriminatore. Il telefono abbina il discriminatore dal QR.
PASE, Password-Authenticated Session Establishment. Telefono e dispositivo eseguono un handshake SPAKE2+ usando il passcode a 27 bit. Dopo il completamento di SPAKE2+, entrambi i lati hanno una chiave di sessione condivisa e il passcode stesso non ha mai attraversato l'etere.
Attestazione. Il dispositivo presenta un Device Attestation Certificate (DAC) firmato da una root riconosciuta dalla CSA. Il tuo hub verifica che il dispositivo sia un genuino dispositivo Matter certificato con il vendor/product ID dichiarato.
Credenziali di rete. Il tuo hub passa al dispositivo le credenziali di rete operative (password Wi-Fi O credenziali di rete Thread) necessarie per la comunicazione effettiva.
CASE, Certificate-Authenticated Session Establishment. Il tuo fabric emette al dispositivo un certificato operativo. Da questo momento, ogni controller nel fabric si autentica al dispositivo tramite CASE; il passcode QR è esaurito.

La proprietà chiave: il passcode QR è un'autenticazione di breve durata, non un'identità a lungo termine. Una volta che un dispositivo è abbinato, metti il sticker QR in un cassetto (o staccalo e distruggilo). Il re-commissioning richiede l'accesso fisico per il ripristino di fabbrica, OPPURE la collaborazione del fabric esistente per emettere una nuova finestra di commissioning.

Modello di minaccia: fotografare il QR di un dispositivo non ancora abbinato

Unico per Matter, il QR è operativamente significativo PRIMA del commissioning. Confronto con altre categorie:

Un QR Wi-Fi espone una password ma unirsi alla rete è un'azione "debole": l'attaccante deve essere fisicamente nel raggio.
Un QR di carta d'imbarco espone un codice di prenotazione ma l'attaccante ha bisogno del cognome del passeggero e di un canale separato.
Un QR Matter + prossimità fisica (BLE / stessa Wi-Fi) = commissioning completo. L'attaccante può rivendicare il dispositivo nel PROPRIO fabric, escludendoti finché non esegui un ripristino di fabbrica. Per una serratura smart, si tratta di un incidente serio.

Scenari reali in cui questo è rilevante:

Traslochi, operatori di servizi, ospiti Airbnb con visibilità sui dispositivi disimballati ma non ancora abbinati.
Resi / vendite di prodotti ricondizionati dove un dispositivo viene rispedito al produttore o a un acquirente di un marketplace con l'adesivo QR intatto e il dispositivo non ripristinato.
Foto delle confezioni di nuovi dispositivi pubblicate sui social media (il post "appena preso la mia serratura Matter!" con il QR visibile).
Installazioni pubbliche (illuminazione smart commerciale, camere d'hotel) dove il QR è fisso all'impianto e raggiungibile da chiunque abbia BLE.

Difesa: esegui il commissioning del dispositivo non appena lo disimbulli (chiude la finestra), poi stacca e distruggi l'adesivo. Per i dispositivi già distribuiti in spazi condivisi / pubblici, assicurati che il dispositivo sia abbinato a un fabric, il che impedisce un nuovo abbinamento senza un ripristino di fabbrica.

Cosa ti mostra il nostro scanner

Inserisci un QR Matter (immagine, incolla o fotocamera) nel nostro scanner. Il verdetto mostra:

Versione, attualmente sempre 0.
Vendor ID e il nome del produttore risolto dove si tratta di un vendor registrato CSA noto.
Product ID e il suggerimento sulla classe del dispositivo se riusciamo a risolverlo.
Flusso personalizzato: standard / azione utente / personalizzato.
Capacità di discovery: quali radio il dispositivo è disposto ad usare per il discovery.
Discriminatore: l'identificatore di discovery (non segreto).
Passcode: mascherato per impostazione predefinita (campo sensibile con tocco per rivelare). Utile per inserire il codice di abbinamento manuale se il tuo QR non è leggibile; pericoloso se il QR non è tuo.

NON comunichiamo con il tuo hub né tentiamo il commissioning. La decodifica è locale; solo i metadati raggiungono il nostro server per la classificazione di sicurezza.

Prima di eseguire il commissioning di un dispositivo Matter non familiare

Sai chi ha spedito questo dispositivo? Se l'hai comprato di seconda mano o era già installato quando ti sei trasferito, esegui il ripristino di fabbrica prima del commissioning. Le credenziali del precedente proprietario potrebbero essere ancora nel fabric.
Il vendor ID corrisponde al brand sulla scatola? I dispositivi Matter contraffatti usano vendor ID di test (0xFFF1–0xFFF4) perché la vera membership CSA costa denaro. Il nostro scanner segnala i vendor ID di test.
Il flag custom-flow è quello che ti aspettavi? Un dispositivo che richiede un flusso personalizzato (flag = 2) quando la scatola dice "scansiona per abbinare" è anomalo.
Stai eseguendo il commissioning in un luogo fidato? I vicini nel raggio BLE possono tentare di appropriarsi di un dispositivo non ancora abbinato. Esegui il commissioning a casa, non in un bar; idealmente con il Wi-Fi spento e solo BLE attivo per rendere il discovery univoco.
Dopo il commissioning, stacca e conserva l'adesivo. Il passcode non è più utilizzabile, ma discriminatore + vendor + informazioni sul prodotto sono sufficienti per un attaccante che voglia enumerare i dispositivi in casa.

Correlati

Ispeziona un QR di onboarding Matter

Inserisci il QR (immagine, incolla o fotocamera). Il verdetto mostra vendor, prodotto, discriminatore, capacità e un passcode mascherato. Non comunichiamo con il tuo hub né tentiamo il commissioning: la decodifica è locale e solo i metadati raggiungono il classificatore di sicurezza.

Apri lo scanner →