What is Matter and what's the QR for?

Matter is the cross-vendor smart-home standard from the Connectivity Standards Alliance (CSA, formerly Zigbee Alliance), with founding backing from Apple, Google, Amazon, Samsung, and a long list of device makers. A Matter device works with any Matter-capable hub regardless of brand: an iPhone in HomeKit, a Google Nest Hub, an Amazon Echo, a Samsung SmartThings hub. The QR on the back of the device (or in the box, or on the rating label) is the onboarding code. Your phone's smart-home app scans it and the device gets commissioned into your Matter fabric, assigned an operational credential, joined to your network, and made addressable by every other Matter controller you have.

What's encoded inside the QR?

A Matter onboarding QR uses the MT: URI scheme followed by a Base38-encoded payload. Decoded, the payload contains: version (3 bits), vendor ID (16 bits, CSA-assigned per manufacturer), product ID (16 bits, manufacturer-assigned per model), custom-flow indicator (2 bits), discovery capabilities (8 bits: BLE / IP / soft AP / Wi-Fi PAF), discriminator (12 bits, used during discovery to disambiguate multiple unpaired devices), and a 27-bit passcode (the secret used in the PASE, Password-Authenticated Session Establishment, handshake). Optional TLV fields can extend the payload with serial numbers and rendezvous information.

Is it dangerous if someone photographs my Matter QR?

It depends on whether the device is already commissioned. Before commissioning: yes, somewhat. Whoever has the QR plus physical proximity (BLE range, or on the same Wi-Fi/Thread network) can commission the device into THEIR Matter fabric, locking you out until you factory-reset it. After commissioning: no. The QR's passcode is only used during the initial PASE handshake; once the device is paired, it's burned and the device only accepts operational credentials issued by your fabric. So the safe practice is: peel off and store the QR sticker before letting strangers (movers, repair people, AirBnB guests) into the home, or commission the device IMMEDIATELY when it's unboxed so the window is short.

How is a Matter QR different from a Wi-Fi QR?

Different layer, different purpose. A Wi-Fi QR (WIFI: scheme) tells your phone to join a specific Wi-Fi network, SSID, security type, password. A Matter QR (MT: scheme) tells your smart-home app to add a specific device to your home, vendor, model, discriminator, pairing passcode. The Matter device will then independently join Wi-Fi or Thread using credentials your hub passes to it during commissioning. They serve different layers of the same setup flow.

What about Thread Border Routers and Matter-over-Thread devices?

Many Matter devices (door locks, contact sensors, motion sensors, low-power bulbs) use Thread as their network instead of Wi-Fi. Thread is a low-power mesh radio. The Matter onboarding QR is the same regardless, vendor / product / discriminator / passcode. The commissioning hub (your Apple TV, Google Hub, Echo Hub) acts as a Thread Border Router, joining the device to your Thread network and exposing it on your Matter fabric so it's addressable from any controller in the home.

Standarder · Matter-enhetsoppsett

Matter-enhetsoppsett-QR-koder

Når du skanner QR-koden på baksiden av en smart-lyspære, smart-støpsel, kontaktsensor eller dørhengsle som bærer Matter-logoen, setter du den opp i Apples Home, Google Home, Amazon Alexa eller Samsung SmartThings.

Inspiser en Matter-QR → Alle standarder →

Hva er standarden

Matter publiseres av Connectivity Standards Alliance (CSA), tidligere Zigbee Alliance, med støtte fra Apple, Google, Amazon, Samsung og hundrevis av andre.

Paring-QR-formatet er en del av Matter Core Specification, seksjonen «Onboarding Payload». Det finnes tre former:

QR-kode med prefiks MT: etterfulgt av en Base38-kodet blob. Dette er det de fleste apper foretrekker fordi kameraet fanger det raskt.
Manuell paringskode, en 11-sifret numerisk streng for tilfeller der QR-koden er skadet eller enheten er for liten til å vise en.
NFC-merke med samme Base38-nyttelast. Mindre vanlig på forbrukerenheter, men brukes mer på smarthjemsensorer.

Alle tre koder de samme feltene med samme tillitsmodell – de er utskiftbare fra et oppsettsperspektiv.

Hva som faktisk er inne i QR-koden

Base38-nyttelasten etter MT:-prefikset dekodes til en pakket binær struktur. De obligatoriske feltene:

Versjon (3 bits)

Alltid 0 for gjeldende enheter. Reservert for fremtidige protokollrevisjoner.

Leverandør-ID (16 bits)

CSA-tildelt identifikator for produsenten. Hvert medlemsorganisasjon får en unik leverandør-ID; 0xFFF1–0xFFF4 er reservert for testing.

Produkt-ID (16 bits)

Produsenttildelt identifikator for den spesifikke modellen. Kombinert med leverandør-ID identifiserer det en SKU.

Tilpasset flyt (2 bits)

0 = standard oppsett (bare par den), 1 = brukerhandling kreves (f.eks. trykk en knapp på enheten), 2 = produsentspesifikk flyt.

Oppdagelsesevner (8 bits)

En bitmaske for hvordan enheten kan oppdages i uoppsatt tilstand: BLE (vanligst), på nettverket (allerede tilkoblet), Wi-Fi (SoftAP).

Diskriminator (12 bits)

En kort identifikator enheten annonserer under oppdagelse slik at huben din kan velge riktig uoppsatt enhet når det er flere i nærheten.

Kode (27 bits)

Den delte hemmeligheten brukt i PASE-håndtrykket. Telefonen beviser overfor enheten at den har denne koden uten å sende den i klartekst (SPAKE2+).

TLV-utvidelse (valgfri, variabel)

Valgfrie felt kan utvide nyttelasten med enhetsserienummer, rendezvousinformasjon og andre produsentspesifikke data.

Oppsettshåndtrykket (hvorfor kodedesignet er viktig)

Matters oppsettsflyt er PASE → CASE:

Oppdagelse. Telefonen din sender BLE-skanninger; den uoppsatte enheten annonserer seg med diskriminatoren.
PASE, Password-Authenticated Session Establishment. Telefon og enhet kjører et SPAKE2+-håndtrykk med koden.
Attestasjon. Enheten presenterer et Device Attestation Certificate (DAC) signert av en CSA-anerkjent rotsertifikater.
Nettverkslegitimasjon. Huben din sender enheten Wi-Fi-passordet ELLER Thread-nettverksnøkkelen.
CASE, Certificate-Authenticated Session Establishment. Fabrikken din utsteder enheten et operasjonelt sertifikat.

Nøkkelegenskapen: QR-koden er kortvarig autentisering, ikke langsiktig identitet. Når en enhet er oppsatt, er koden ubrukelig.

Trusselmodell: fotografere en uparet enhets QR

Unikt for Matter: QR-koden er operasjonelt meningsfull FØR oppsett. Sammenlign med andre kategorier:

En Wi-Fi-QR lekker et passord, men å bli med i nettverket er en «svak» handling – angriperen må fysisk være i rekkevidde.
En ombordstigningskort-QR lekker en bestillingsreferanse, men angriperen trenger passasjerens etternavn og en separat kanal.
En Matter-QR + fysisk nærhet (BLE / samme Wi-Fi) = fullt oppsett. Angriperen kan ta enheten inn i SITTfabrikken.

Virkelige scenarier der dette er viktig:

Flyttebyråansatte, reparatører, AirBnB-gjester med siktlinje til uboksede-men-uparede enheter.
Retur / bruktsalg der en enhet sendes tilbake til produsenten eller til en markedsplasskjøper.
Bilder av nye enhetsbokser lagt ut på sosiale medier («jeg fikk nettopp Matter-låsen min!»-innlegget med QR-koden synlig).
Offentlige installasjoner (kommersiell smartbelysning, hotellrom) der QR-koden er festet til armaturen og synlig for besøkende.

Forsvar: sett opp enheten så snart du pakker den ut (lukker vinduet), pell deretter av og makuler klistremerket.

Hva skanneren vår viser deg

Slipp en Matter-QR (bilde, lim inn eller kamera) i skanneren vår. Resultatet viser:

Versjon, for øyeblikket alltid 0.
Leverandør-ID, og det løste produsentnavnet der det er en kjent CSA-registrert leverandør.
Produkt-ID, og enhetsklassetipset hvis vi kan løse det.
Tilpasset flyt, standard / brukerhandling / tilpasset.
Oppdagelsesevner, hvilke radioer enheten er villig til å bruke for oppdagelse.
Diskriminator, oppdagelsesidentifikatoren (ikke hemmelig).
Kode, maskert som standard (trykk for å avsløre). Nyttig for å taste inn den manuelle paringkoden.

Vi ringer IKKE hjem til huben din eller forsøker oppsett. Dekodingen er lokal; bare metadata når serveren vår for klassifisering.

Før du oppsetter en ukjent Matter-enhet

Vet du hvem som leverte enheten? Hvis du kjøpte den brukt eller den allerede var installert da du flytte inn, sjekk at leverandør-ID-en samsvarer med boksen.
Stemmer leverandør-ID-en med merket på boksen? Falske Matter-enheter bruker test-leverandør-ID-er (0xFFF1–0xFFF4).
Er tilpasset flyt-flagget som forventet? En enhet som krever tilpasset flyt (flagg = 2) når boksen ikke sier det er merkelig.
Oppsetter du i en betrodd lokasjon? BLE-rekkevidde naboer kan kappløpe om å kreve en ikke-oppsatt enhet.
Etter oppsett, pell av og oppbevar klistremerket. Koden er utdatert, men diskriminator + leverandør + produkt er ikke.

Relatert

Inspiser en Matter-onboarding-QR

Slipp QR-koden (bilde, lim inn eller kamera). Resultatet viser leverandør, produkt, diskriminator, evner og en maskert kode.

Åpne skanner →

Matter-enhets­oppsett-QR-koder