Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Nach c’t-Bericht: Deye repariert Sicherheitslücke per Update

Mikrowechselrichter von Deye, die in Deutschland von Pearl und Netto verkauft werden, öffneten stets ein unsicheres WLAN. Jetzt hat der Hersteller reagiert.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lock,With,Chain,On,A,Computer,Keyboard,-,3d,Illustration

(Bild: peterschreiber.media/Shutterstock.com)

Lesezeit: 2 Min.
c't Magazin
Von
  • Jan Mahn

Die Wechselrichter für Balkonkraftwerke des chinesischen Herstellers Deye findet man auf dem deutschen Markt unter verschiedenen Namen. Einzeln gibt es sie unter den Markennamen Bosswerk und revolt (bei Händler Pearl), im Gesamtpaket mit PV-Modulen bei Discounter Netto im Onlineangebot. Trotz unterschiedlicher Namen haben sie alle denselben verhängnisvollen Fehler im WLAN-Modul. Das ist eingebaut, um die Erzeugungsleistung über das Internet an den ebenfalls chinesischen Dienstleister Solarman zu funken, der eine Auswertung per App und Website bietet.

Das Problem: Der Wechselrichter öffnet einen Access-Point, über den man die Verbindung mit dem heimischen WLAN konfiguriert – und er ist nur rudimentär mit dem Standardschlüssel 12345678 gesichert. Nach der Ersteinrichtung sollte man den ändern oder den Access Point abschalten. Doch genau das funktioniert in der fehlerhaften Firmware nicht; der Speichern-Button ist ohne Funktion, sodass sich zum Beispiel böswillige Nachbarn leicht mit dem Gerät verbinden und darüber auch an die im Gerät abgelegten Zugangsdaten für das Heim-WLAN können.

Wechselrichter mit WLAN: Verkauft wird er unter den Namen Deye, revolt und Bosswerk. In allen steckt die Sicherheitslücke CVE-2023-0808.

Nachweisen konnten wir den Fehler in den Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471. Seit Dezember 2022 hat Deye ein Update auf Lager, hielt sich aber mit dessen Installation zurück. Nur mit einer englischsprachigen Mail an den Support konnte man den Hersteller dazu bewegen, das Update aus der Ferne zu installieren – was nach unseren Erkenntnissen bis zu zwei Wochen dauern konnte.

Automatisches Update

Am 3. Februar berichteten wir bei heise online über das Problem – und im Anschluss kam Bewegung in die Sache. Zunächst meldete sich das Team der Sicherheitslückendatenbank VulDB. Die Deye-Lücke hat jetzt die offizielle Nummer CVE-2023-0808. Am 8. Februar reagierte auch der Hersteller: Das Update wird jetzt automatisch eingespielt, wenn der Wechselrichter 30 Minuten aktiv und mit dem Internet verbunden ist.

Wer einen Deye-Wechselrichter an seinem Balkonkraftwerk hat, sollte sich in jedem Fall um das Update bemühen, auch wenn er nicht beabsichtigt, die WLAN-Funktion und Solarman dauerhaft zu benutzen – ohne das Update gibt es keine Chance, den unsicheren Access-Point zuverlässig zu deaktivieren und somit eine Manipulation der Einstellungen zu verhindern. Es reicht aus, das Gerät bei Sonnenschein (nur dann ist das WLAN-Modul aktiv) für knapp 40 Minuten in einem Gast-WLAN mit Internetverbindung zu betreiben. Ob das Update angekommen ist, kann man in der lokalen Weboberfläche erkennen.

CVE-Datenbank und Deye Pressmitteilung:
c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(jam)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten