Nach c’t-Bericht: Deye repariert Sicherheitslücke per Update
Mikrowechselrichter von Deye, die in Deutschland von Pearl und Netto verkauft werden, öffneten stets ein unsicheres WLAN. Jetzt hat der Hersteller reagiert.
- Jan Mahn
Die Wechselrichter für Balkonkraftwerke des chinesischen Herstellers Deye findet man auf dem deutschen Markt unter verschiedenen Namen. Einzeln gibt es sie unter den Markennamen Bosswerk und revolt (bei Händler Pearl), im Gesamtpaket mit PV-Modulen bei Discounter Netto im Onlineangebot. Trotz unterschiedlicher Namen haben sie alle denselben verhängnisvollen Fehler im WLAN-Modul. Das ist eingebaut, um die Erzeugungsleistung über das Internet an den ebenfalls chinesischen Dienstleister Solarman zu funken, der eine Auswertung per App und Website bietet.
Das Problem: Der Wechselrichter öffnet einen Access-Point, über den man die Verbindung mit dem heimischen WLAN konfiguriert – und er ist nur rudimentär mit dem Standardschlüssel 12345678 gesichert. Nach der Ersteinrichtung sollte man den ändern oder den Access Point abschalten. Doch genau das funktioniert in der fehlerhaften Firmware nicht; der Speichern-Button ist ohne Funktion, sodass sich zum Beispiel böswillige Nachbarn leicht mit dem Gerät verbinden und darüber auch an die im Gerät abgelegten Zugangsdaten für das Heim-WLAN können.
Nachweisen konnten wir den Fehler in den Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471. Seit Dezember 2022 hat Deye ein Update auf Lager, hielt sich aber mit dessen Installation zurück. Nur mit einer englischsprachigen Mail an den Support konnte man den Hersteller dazu bewegen, das Update aus der Ferne zu installieren – was nach unseren Erkenntnissen bis zu zwei Wochen dauern konnte.
Automatisches Update
Am 3. Februar berichteten wir bei heise online über das Problem – und im Anschluss kam Bewegung in die Sache. Zunächst meldete sich das Team der Sicherheitslückendatenbank VulDB. Die Deye-Lücke hat jetzt die offizielle Nummer CVE-2023-0808. Am 8. Februar reagierte auch der Hersteller: Das Update wird jetzt automatisch eingespielt, wenn der Wechselrichter 30 Minuten aktiv und mit dem Internet verbunden ist.
Wer einen Deye-Wechselrichter an seinem Balkonkraftwerk hat, sollte sich in jedem Fall um das Update bemühen, auch wenn er nicht beabsichtigt, die WLAN-Funktion und Solarman dauerhaft zu benutzen – ohne das Update gibt es keine Chance, den unsicheren Access-Point zuverlässig zu deaktivieren und somit eine Manipulation der Einstellungen zu verhindern. Es reicht aus, das Gerät bei Sonnenschein (nur dann ist das WLAN-Modul aktiv) für knapp 40 Minuten in einem Gast-WLAN mit Internetverbindung zu betreiben. Ob das Update angekommen ist, kann man in der lokalen Weboberfläche erkennen.
(jam)