Balkonkraftwerke: Hoymiles-Sicherheitslücke teilweise geschlossen
Hoymiles hat einen Teil seiner Sicherheitslücken geschlossen. Aktuell lassen sich keine Befehle mehr auf fremden Anlagen ausführen.
(Bild: nnattalli / Shutterstock.com)
- Andrijan Möcker
Hoymiles hat in der Nacht zum Freitag auch die restlichen Sicherheitslücken in der API gestopft.
Der chinesische Mikrowechselrichterhersteller Hoymiles hat Sicherheitslücken in der S-Miles-Cloud teilweise geschlossen. Das teilte ein Vertreter heise online mit. Dass die Lücken geschlossen wurden, konnten wir in einem aktuellen Test größtenteils bestätigen.
Geschlossen ist die wichtigste Lücke, die weitere Angriffe erst möglich machte: Wie unsere Tests zeigen, lassen sich aktuell keine Befehle mehr auf fremden Anlagen ausführen, Informationen über solche Anlagen kann man aber weiterhin einsehen. Die Cloud erlaubt es nach wie vor, Details wie Seriennummern von Anlagen unbefugt einzusehen.
API-Autorisierung kaputt
Konkret handelt es sich bei den Sicherheitslücken um Fehler bei der Autorisierung von Nutzern in der App-Anwendungsschnittstelle (API). Sie sollte die Nutzer normalerweise nur auf die eigenen Anlagen berechtigen, gab ihnen jedoch Zugriff auf alle DTUs. Im Heise-Online-Forum äußerte sich am Vormittag ein Mitarbeiter des Hoymiles-Supports, um klarzustellen, dass man zügig auf das Problem reagiert und per Mail geantwortet habe. Tatsächlich kamen die Mails auf den Verlagsservern aber nicht an – vermutlich, weil heise.de in China nicht erreichbar ist.
Laut Homyles war es zu keinem Zeitpunkt möglich, Geräte aus der Ferne kurzzuschließen. Richtig ist, dass es keinen eingebauten Selbstzerstörungsmechanismus gibt, der über einen API-Befehl alle Relais anzieht und das Gerät zerstört.
Balkonkraftwerke bauen und cloudlos betreiben
Leitfaden: Wie Sie kleine und große Balkonkraftwerke bauen
Telemetriegeräte für kleine und große Balkonkraftwerke im Test
Die Gefahr von elektrotechnischer Manipulation ergab sich, weil ein Sicherheitsforscher, der die App und das API untersucht hatte, einen Weg fand, manipulierte Firmwares auf den Hoymiles-Server zu schmuggeln und diese für alle DTUs und Wechselrichter zur Verfügung zu stellen. Mit der Dokumentation des von Hoymiles in den Wechselrichtern verwendeten Mikrocontrollers konnte er eine Firmware entwickeln, die den beschriebenen Kurzschluss hervorruft oder die Sicherheitsfunktionen (NA-Schutz, Inselschutz) außer Kraft setzt. Es gelang ihm, einen Wechselrichter, der nicht mit seinem Account verknüpft war, über das API dazu zu bringen, die Firmware zu installieren. Getestet und dokumentiert hat er das Vorgehen auf einem eigenen Wechselrichter – den Befehl zum Updaten hätte ein böswilliger Angreifer massenhaft für fremde Wechselrichter auslösen können.
Gefahr gebannt
Hoymiles hat darauf zügig reagiert und das Problem am Abend des 27. September geschlossen. Da das Kernproblem der fehlenden Autorisierung gelöst ist, können DTUs des Herstellers wieder mit dem Internet verbunden werden. Die Redaktion steht mit einem deutschen Vertreter von Hoymiles in telefonischem Kontakt und bespricht das weitere Vorgehen, um die Probleme mit dem Update-Mechanismus zu lösen.
(amo)