What is Matter and what's the QR for?

Matter is the cross-vendor smart-home standard from the Connectivity Standards Alliance (CSA, formerly Zigbee Alliance), with founding backing from Apple, Google, Amazon, Samsung, and a long list of device makers. A Matter device works with any Matter-capable hub regardless of brand: an iPhone in HomeKit, a Google Nest Hub, an Amazon Echo, a Samsung SmartThings hub. The QR on the back of the device (or in the box, or on the rating label) is the onboarding code. Your phone's smart-home app scans it and the device gets commissioned into your Matter fabric, assigned an operational credential, joined to your network, and made addressable by every other Matter controller you have.

What's encoded inside the QR?

A Matter onboarding QR uses the MT: URI scheme followed by a Base38-encoded payload. Decoded, the payload contains: version (3 bits), vendor ID (16 bits, CSA-assigned per manufacturer), product ID (16 bits, manufacturer-assigned per model), custom-flow indicator (2 bits), discovery capabilities (8 bits: BLE / IP / soft AP / Wi-Fi PAF), discriminator (12 bits, used during discovery to disambiguate multiple unpaired devices), and a 27-bit passcode (the secret used in the PASE, Password-Authenticated Session Establishment, handshake). Optional TLV fields can extend the payload with serial numbers and rendezvous information.

Is it dangerous if someone photographs my Matter QR?

It depends on whether the device is already commissioned. Before commissioning: yes, somewhat. Whoever has the QR plus physical proximity (BLE range, or on the same Wi-Fi/Thread network) can commission the device into THEIR Matter fabric, locking you out until you factory-reset it. After commissioning: no. The QR's passcode is only used during the initial PASE handshake; once the device is paired, it's burned and the device only accepts operational credentials issued by your fabric. So the safe practice is: peel off and store the QR sticker before letting strangers (movers, repair people, AirBnB guests) into the home, or commission the device IMMEDIATELY when it's unboxed so the window is short.

How is a Matter QR different from a Wi-Fi QR?

Different layer, different purpose. A Wi-Fi QR (WIFI: scheme) tells your phone to join a specific Wi-Fi network, SSID, security type, password. A Matter QR (MT: scheme) tells your smart-home app to add a specific device to your home, vendor, model, discriminator, pairing passcode. The Matter device will then independently join Wi-Fi or Thread using credentials your hub passes to it during commissioning. They serve different layers of the same setup flow.

What about Thread Border Routers and Matter-over-Thread devices?

Many Matter devices (door locks, contact sensors, motion sensors, low-power bulbs) use Thread as their network instead of Wi-Fi. Thread is a low-power mesh radio. The Matter onboarding QR is the same regardless, vendor / product / discriminator / passcode. The commissioning hub (your Apple TV, Google Hub, Echo Hub) acts as a Thread Border Router, joining the device to your Thread network and exposing it on your Matter fabric so it's addressable from any controller in the home.

Padrões · Comissionamento de dispositivo Matter

QR codes de comissionamento de dispositivo Matter

Quando você escaneia o QR no verso de uma lâmpada inteligente, tomada inteligente, sensor de contato ou fechadura com o logo Matter, seu telefone executa um handshake de cinco etapas que adiciona o dispositivo à sua casa. O QR carrega tudo o que seu hub precisa para encontrar aquele dispositivo específico: fornecedor, modelo, um discriminador por dispositivo e um código de acesso de emparelhamento único, além de uma lista de como o dispositivo pode ser alcançado pelo ar (BLE, Wi-Fi, Thread). Aqui está o que está codificado, o que vaza e por que o QR importa de um modo que os QRs de Wi-Fi não importam.

Inspecionar um QR Matter → Todos os padrões →

Qual é o padrão

O Matter é publicado pela Connectivity Standards Alliance (CSA), anteriormente Zigbee Alliance, com suporte fundador da Apple, Google, Amazon, Samsung, Comcast e uma longa lista de fabricantes de dispositivos. O Matter 1.0 foi lançado em outubro de 2022; o Matter 1.4 é a versão atual no início de 2026, com câmeras, gerenciamento de energia, carregadores de VE e dispositivos de gestão de água adicionados desde a 1.0. A especificação cobre protocolo de camada de aplicação, segurança, comissionamento e o formato de integração por QR.

O formato do QR de emparelhamento faz parte da Especificação Núcleo do Matter, seção "Payload de Integração". Há três formas do mesmo payload:

QR code com prefixo MT: seguido de um blob codificado em Base38. É o que a maioria dos aplicativos prefere por ser mais rápido.
Código de emparelhamento manual, uma sequência numérica de 11 dígitos para casos em que o QR está danificado ou o dispositivo é pequeno demais para um QR. Você pode digitá-lo.
Tag NFC com o mesmo payload Base38. Menos comum em dispositivos de consumo, mas cada vez mais usada em fechaduras inteligentes onde toque para parear é mais ergonômico.

Os três codificam os mesmos campos com o mesmo modelo de confiança; são intercambiáveis do ponto de vista do comissionamento.

O que há realmente dentro do QR

O payload Base38 após o prefixo MT: decodifica para uma estrutura binária compactada. Os campos obrigatórios:

Versão (3 bits)

Sempre 0 para dispositivos atuais. Reservado para revisões futuras do protocolo.

ID do fornecedor (16 bits)

Identificador atribuído pela CSA ao fabricante. Cada organização membro recebe um ID de fornecedor único; 0xFFF1–0xFFF4 são reservados para teste / desenvolvimento. Nosso scanner resolve o ID do fornecedor no registro da CSA quando conhecido.

ID do produto (16 bits)

Identificador atribuído pelo fabricante para o modelo específico. Combinado com o ID do fornecedor, identifica exclusivamente um SKU (ex.: "Eve Energy 2ª geração").

Fluxo personalizado (2 bits)

0 = comissionamento padrão (só parear), 1 = ação do usuário necessária (ex.: pressione um botão no dispositivo primeiro), 2 = fluxo personalizado (etapas de configuração específicas do fabricante). Determina qual interface o aplicativo do hub exibe.

Capacidades de descoberta (8 bits)

Uma máscara de bits de como o dispositivo pode ser descoberto em seu estado não comissionado: BLE (o mais comum), IP na rede (já está no seu Wi-Fi ou Ethernet, raro em produtos de consumo), Soft-AP (o dispositivo hospeda uma rede Wi-Fi temporária), Wi-Fi PAF (descoberta por Public Action Frame, mais recente).

Discriminador (12 bits)

Um identificador curto que o dispositivo anuncia durante a descoberta para que o hub possa selecionar o dispositivo não comissionado correto quando há vários no alcance do BLE. Não é secreto; é o sinal de "este é o que acabei de desembalar".

Código de acesso (27 bits)

O segredo compartilhado usado no handshake PASE. O telefone prova ao dispositivo que possui este código de acesso sem enviá-lo pelo ar em texto simples. Após a conclusão do comissionamento, o código de acesso não é mais útil. Intervalo: 1 a 99.999.998 (alguns valores proibidos pela especificação para evitar códigos trivialmente adivinháveis como 11111111).

Extensão TLV (opcional, variável)

Campos opcionais podem estender o payload com o número de série do dispositivo, informações de rendezvous e outros atributos especificados pelo fabricante. A maioria dos dispositivos de consumo omite isso.

O handshake de comissionamento (por que o design do código de acesso importa)

O fluxo de comissionamento do Matter é PASE → CASE:

Descoberta. Seu telefone transmite varreduras BLE (ou ouve na Wi-Fi local); o dispositivo não comissionado está anunciando com seu discriminador. Seu telefone combina o discriminador do QR.
PASE, Estabelecimento de Sessão Autenticada por Senha. Telefone e dispositivo executam um handshake SPAKE2+ usando o código de acesso de 27 bits. Após a conclusão do SPAKE2+, ambos os lados têm uma chave de sessão compartilhada e o próprio código de acesso nunca cruzou o ar.
Atestação. O dispositivo apresenta um Certificado de Atestação de Dispositivo (DAC) assinado por uma raiz reconhecida pela CSA. Seu hub verifica que o dispositivo é um dispositivo Matter certificado genuíno com o ID de fornecedor/produto declarado.
Credenciais de rede. Seu hub passa ao dispositivo as credenciais operacionais de rede (senha Wi-Fi OU credenciais de rede Thread) necessárias para a comunicação real.
CASE, Estabelecimento de Sessão Autenticada por Certificado. Seu fabric emite ao dispositivo um certificado operacional. A partir daqui, cada controlador no fabric autentica-se no dispositivo via CASE; o código de acesso do QR está desativado.

A propriedade-chave: o código de acesso do QR é autenticação de curta duração, não identidade de longo prazo. Após comissionar um dispositivo, guarde o adesivo QR em uma gaveta (ou retire e destrua). O recomissionamento exige ou acesso físico para redefinição de fábrica do dispositivo, ou cooperação do fabric existente para emitir uma nova janela de comissionamento.

Modelo de ameaça: fotografar o QR de um dispositivo não emparelhado

Único ao Matter: o QR é operacionalmente significativo ANTES do comissionamento. Compare com outras categorias:

Um QR de Wi-Fi vaza uma senha, mas ingressar na rede é uma ação "fraca" — o atacante precisa estar fisicamente no alcance.
Um QR de cartão de embarque vaza uma referência de reserva, mas o atacante precisa do sobrenome do passageiro e de um canal separado.
Um QR Matter + proximidade física (BLE / mesmo Wi-Fi) = comissionamento completo. O atacante pode reivindicar o dispositivo para o fabric DELE, bloqueando você até que você faça uma redefinição de fábrica. Para uma fechadura inteligente, isso é um incidente grave.

Cenários reais onde isso importa:

Mudadores, trabalhadores de manutenção, hóspedes de AirBnB com linha de visão para dispositivos desembalados mas não emparelhados.
Devoluções / vendas recondicionadas onde um dispositivo é enviado de volta ao fabricante ou a um comprador de marketplace com o adesivo QR intacto e o dispositivo não redefinido de fábrica.
Fotos de caixas de dispositivos novos publicadas nas redes sociais (o post "acabei de comprar minha fechadura Matter!" com o QR visível).
Instalações públicas (iluminação inteligente comercial, quartos de hotel) onde o QR está preso ao acessório e alcançável por qualquer pessoa com BLE.

Defesa: comissione o dispositivo assim que desembalar (fecha a janela), depois retire e destrua o adesivo. Para dispositivos já implantados em espaços compartilhados / públicos, certifique-se de que o dispositivo está comissionado em um fabric, o que impede o emparelhamento novo sem redefinição de fábrica.

O que nosso scanner mostra

Envie um QR Matter (imagem, cole ou câmera) para o nosso scanner. O veredicto mostra:

Versão, atualmente sempre 0.
ID do fornecedor, e o nome do fabricante resolvido quando é um fornecedor registrado na CSA conhecido.
ID do produto, e a dica de classe de dispositivo se pudermos resolvê-la.
Fluxo personalizado, padrão / ação do usuário / personalizado.
Capacidades de descoberta, quais rádios o dispositivo está disposto a usar para descoberta.
Discriminador, o identificador de descoberta (não secreto).
Código de acesso, mascarado por padrão (campo sensível de toque para revelar). Útil para digitar o código de emparelhamento manual se o QR não for legível; perigoso se o QR não for seu.

NÃO nos conectamos ao seu hub nem tentamos comissionar. A decodificação é local; apenas os metadados chegam ao nosso servidor para a classificação de segurança.

Antes de comissionar um dispositivo Matter desconhecido

Você sabe quem enviou este dispositivo? Se você o comprou de segunda mão ou ele já estava instalado quando você se mudou, faça uma redefinição de fábrica antes do comissionamento. As credenciais do fabric do proprietário anterior podem ainda estar presentes.
O ID do fornecedor corresponde à marca na caixa? Dispositivos Matter falsificados usam IDs de fornecedor de teste (0xFFF1–0xFFF4) porque a associação real à CSA custa dinheiro. Nosso scanner sinaliza IDs de fornecedor de teste.
O indicador de fluxo personalizado é o esperado? Um dispositivo que exige fluxo personalizado (indicador = 2) quando a caixa diz "escaneie para parear" é anômalo.
Você está comissionando em um local confiável? Vizinhos no alcance do BLE podem competir para reivindicar um dispositivo não comissionado. Comissione em casa, não em uma cafeteria; idealmente com Wi-Fi desligado e apenas BLE ativo para que a descoberta seja inequívoca.
Após o comissionamento, retire e guarde o adesivo. O código de acesso já não funciona, mas o discriminador + informações de fornecedor e produto são suficientes para um atacante enumerar dispositivos na casa.

Relacionados

Inspecionar um QR de integração Matter

Envie o QR (imagem, cole ou câmera). O veredicto mostra fornecedor, produto, discriminador, capacidades e um código de acesso mascarado. Não nos conectamos ao seu hub nem tentamos comissionar — a decodificação é local e apenas os metadados chegam ao classificador de segurança.

Abrir scanner →