Balkonkraftwerke: Hoymiles schließt Sicherheitslücken

Der Wechselrichterhersteller hat die Lücken in der API geschlossen – das haben wir verifiziert. Im Gespräch gelobte Hoymiles Besserung.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen

(Bild: nnattalli / Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Andrijan Möcker

Die beim chinesischen Mikrowechselrichterhersteller Hoymiles aufgetretenen Sicherheitslücken in der S-Miles-Cloud sind geschlossen. Die Firma hat in der Nacht zum 27. September reagiert und zunächst die Autorisierung des API so angepasst, dass Nutzer nicht mehr die Geräte anderer Kunden fernsteuern konnten. Nach weiterer Kommunikation mit c't hat das Unternehmen auch den Lesezugriff eingeschränkt.

Hoymiles' Angaben konnte c't durch erneute Versuche heute früh verifizieren; zu dem Zeitpunkt waren die Lücken bereits behoben. Zuvor war es möglich, mit einem Account auf alle Anlagen zuzugreifen und nicht nur Befehle zum Neustart abzusetzen, sondern auch Firmware-Updates auszulösen. Die rund 230.000 mit der Cloud verbundenen Anlagen hätten so manipuliert werden können.

HEISE INVESTIGATIV

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

In einem Videogespräch am heutigen Vormittag äußerten sich zwei europäische Vertreter der Firma gegenüber c't. Sie betonten, dass ihr Unternehmen Sicherheitslücken ernst nehme und großes Interesse an deren Aufklärung und Beseitigung habe. Kurz vor dem Gespräch übersandten wir außerdem ein Dokument des anonymen Hinweisgebers, das die Details der Angriffe zeigt.

Die Firma bedankte sich für die Hinweise und möchte diese nun auswerten. Rechtliche Schritte plane sie laut den Vertretern auf keinen Fall. Das Unternehmen habe, ganz im Gegenteil, Interesse daran, transparent gegenüber Kunden und Presse zu verfahren und möchte kein Negativbeispiel sein. Eine von Homyiles für technische Rückfragen gestellte Kontaktanfrage an den Sicherheitsforscher wurde von c't weitergereicht.

Im Normalfall befolgt c't bei Sicherheitslücken eine Responsible-Disclosure-Policy, die Firmen eine längere Reaktionszeit lässt. Aufgrund des hohen Risikos für die Sicherheit der Stromnetze und der zuvor gescheiterten Kommunikation mit Hoymiles haben wir uns jedoch für eine relativ kurzfristige Veröffentlichung entschieden, weil uns auch nach mehrmaliger Nachfrage keine Antworten per Mail erreichten.

Für dieses Problem gibt es nun eine plausible Erklärung: Der Vorfall offenbarte, dass nicht nur die Website von heise online, sondern auch die heise-Mailserver aufgrund von staatlicher Zensur aus China nicht erreichbar sind. Eine gestrige Prüfung durch die heise-Administratoren ergab, dass keine Mails vom Hersteller bei uns angekommen sind. Ein Screenshot zeigt zudem, dass beim Hersteller die Fehlermeldung "This mailbox does not exist" erscheint.

(amo)