Nicht zuletzt aufgrund der omnipräsenten Werbung in sozialen Netzwerken waren LED Panels kurz vor Weihnachten ein beliebtes Geschenk. Auch wir konnten nicht widerstehen, hatten für die Anzeigen jedoch einen etwas anderen Verwendungszweck. Bald bemerkten wir jedoch eine gefährliche Sicherheitslücke.
Wobei Sicherheitslücke eigentlich stark untertrieben ist. Es ist vielmehr ein offenes Scheunentor, das jeder Smartphonebesitzer ausnutzen kann ohne die geringsten Kenntnisse zu benötigen. Glücklicherweise ist nicht jeder Besitzer einer solchen LED Anzeige gleichermaßen betroffen. Doch der Reihe nach!
Universell einsetzbar
LED Anzeigen sind schon eine tolle Sache. Es gibt sie in verschiedenen Größen und günstig sind sie auch noch. Per Smartphone-App lassen sich Texte und Animationen auf das Panel übertragen und abspielen. Betrieben werden sie meistens über ein USB-Kabel. Das macht sie sehr gut mobil einsetzbar, z.B. in Fahrzeugen. Der Strom kann z.B. von einer Powerbank kommen.
Oft werden lustige Animationen abgespielt oder witzige Nachrichten hinterlassen. Teilweise sieht man sie jedoch auch in Auslagen von Geschäften oder als Info- und Werbeschilder. Wir selbst nutzen die LED Anzeigen für Werbung in unseren Fahrzeugen und zur Absicherung von Arbeitsstellen. Dadurch haben wir eine überraschende Entdeckung gemacht die wir zuerst für eine Fehlfunktion hielten.
Problematische App
Wie schon erwähnt, funktionieren die LED Panels indem man sie über eine App konfiguriert. Die App ist kostenlos über Google Play zu installieren und verbindet sich per Bluetooth mit der Anzeige. Genau hier beginnt das Problem!
Die App sucht nach LED Anzeigen in der Nähe und schon kann man sich mit diesen verbinden. Ohne Kennwort, Seriennummern oder irgend etwas anderes abzufragen. Es gibt also keine Sicherheitsfunktion die verhindert, dass sich eine unbefugte Person mit der Anzeige verbindet. Noch schlimmer: Die LED Panel lassen sich noch nicht einmal nachträglich mit einer PIN schützen! Auch lässt sich, zumindest bei den von uns verwendeten Anzeigen, die Bluetooth-Verbindung nicht deaktivieren. Das bedeutet, sobald sie eingeschaltet sind, ist Bluetooth aktiv und jede Verbindung eines Smartphones wird akzeptiert, sofern auf diesem die App installiert ist.
Unsere Tests
Bevor wir diesen Beitrag veröffentlichen, wollten wir natürlich ganz sich sein keinen Unsinn zu schreiben. Daher haben wir verschiedene Tests durchgeführt.
Zuerst haben wir weitere LED Panels bestellt um ausschließen zu können, dass es sich um einen Einzelfehler handelt. Dann haben wir die App auf mehreren Android Smartphones unterschiedlicher Hersteller installiert. Tatsächlich konnten wir alle 3 LED Panels von jedem unserer Smartphones ansteuern und die Anzeige ändern. Und das nicht nur in direkter Nähe zum LED Panel sondern über einige Meter Entfernung.
Dabei machte es keinen Unterschied von welchem Handy aus das LED Panels erstmals angesteuert wurde. Bei jedem unserer Versuche akzeptierte jedes Panel den Verbindungsaufbau ohne Passwort oder PIN.
Nur lästig oder gefährlich?
Nun denken manche Leser vielleicht, dass ist doch alles nicht so schlimm. Vielleicht machen einzelne Kids Blödsinn damit, wirklich tragisch ist das aber nicht. Oder doch? Nun ja, ganz so harmlos ist die Sache leider nicht!
Da diese LED Panels nicht nur im privaten Bereich eingesetzt werden, kann hoher Schaden entstehen. Allerdings muss auch im privaten Bereich mit Ärger und sogar juristischen Konsequenzen gerechnet werden!
Hier ein paar Anwendungsfälle in denen Störenfriede für Unruhe sorgen könnten:
- Öffnungszeiten
- Preisauszeichnung
- Werbebotschaften
Selbstverständlich sollen diese Beispiele nicht als Anleitung dienen, vielmehr als Warnung!
Horrorszenarien
In unseren Tests konnten wir uns innerhalb des Hauses und durch Wände hindurch über eine Entfernung von 6 bis 10 Meter mit den LED Anzeigen verbinden. Das 2. LED Panel, welches wir im Winterdienst-Traktor angebracht hatten, konnten wir bequem aus einem anderen Fahrzeug heraus und über eine Entfernung von mehreren Metern ansteuern und neu programmieren.
Wer mit offenen Augen durch die Welt geht, kann immer wieder genau solche LED Anzeigen entdecken. Wie viele dieser Anzeigen sind dann wohl erst in einer größeren Stadt im Einsatz? Man muss sie ja noch nicht einmal sehen um sie zu manipulieren! Einfach die App nach neuen Anzeigen suchen lassen und den eigenen Text übertragen. Das dauert keine Minute und erfolgt komplett lautlos.
Wie einfach wäre es, einen vorgefertigten Text mit rassistischen Texten oder politischen Parolen auf fremde LED Anzeigen zu übertragen? Und der Besitzer würde es vermutlich über Stunden oder sogar Tage nicht einmal bemerken!
In einem spontanen Versuch in einer österreichischen Kleinstadt konnten wir 8 derartige LED Panels entdecken und uns mit ihnen verbinden. Es versteht sich von selbst, dass wir keine Änderungen vorgenommen und die Panels sofort wieder aus unserer App gelöscht haben. Zurückgeblieben ist jedoch ein mulmiges Gefühl!