Balkonkraftwerke: Bedrohliche SicherheitslĂĽcken bei Hoymiles
Ein Sicherheitsforscher hat sich Hoymiles' Cloudservice genauer angesehen und Lücken gefunden, über die Wechselrichter sogar zerstört werden können.
- Andrijan Möcker
Hoymiles hat mittlerweile reagiert und die LĂĽcken gestopft.
Gravierende Sicherheitslücken im Cloudservice des chinesischen Photovoltaik-Herstellers Hoymiles bedrohen mehrere hunderttausend Mikrowechselrichter. Der "S-Miles-Cloud" genannte Service bietet Kunden des Herstellers eine Ertragsüberwachung, zeigt also an, was die kleinen Photovoltaikanlagen so leisten. Dafür nötig ist eine "Data Transfer Unit", kurz DTU, genannte Funkbridge, die mit dem Internet verbunden ist, oder ein neuerer Hoymiles-Wechselrichter mit integriertem WLAN.
Ein anonymer Hinweisgeber, der angibt, Sicherheitsforscher zu sein, hatte sich am Sonntag vergangener Woche ĂĽber den Investigativ-Briefkasten an c't gewandt und ein 25-seitiges Dokument mit detaillierten Beschreibungen der LĂĽcken hochgeladen. Durch Tests an eigener Hardware konnten wir die Hinweise in der Redaktion verifizieren.
Der Angriff schaltet augenscheinlich Zugang zu allen in der S-Miles-Cloud eingebuchten DTUs und Wechselrichtern frei. Verifizieren lässt sich das zwar nicht, da Hoymiles jedoch für alle Geräte dieselben zwei Apps bereitstellt, kommt wahrscheinlich nur ein Dienst zum Einsatz. Eine Abfrage ergab zudem, dass derzeit rund 230.000 Anlagen mit jeweils mindestens einem Wechselrichter mit dem Dienst verbunden sind.
Nutzer, die den Wechselrichter gar nicht auslesen oder alternative Bridges wie Ahoy- und OpenDTU nutzen, sind nicht betroffen.
Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
https://heise.de/investigativ
Kurzschlussgefahr
Im Laufe seiner Analyse der Cloud entdeckte der Sicherheitsforscher mehrere Lücken, über die er Wechselrichter derart manipulieren könnte, dass Infrastruktur beschädigt und der Wechselrichter zerstört wird. Schlimmstenfalls besteht Gefahr für Leib und Leben.
Unter anderem wäre es möglich, den NA-Schutz sowie den Inselschutz zu deaktivieren. Der NA-Schutz sorgt dafür, dass Netz und Wechselrichter bei Über- oder Unterschreiten von Spannungs- und Frequenzgrenzwerten getrennt werden. Der Inselschutz schaltet den Wechselrichter ab, wenn die Netzverbindung unterbrochen wird. Das verhindert auch, dass per Schutzkontaktstecker (Schuko) angeschlossene Anlagen beim Ausstecken ein Sicherheitsrisiko darstellen; deaktiviert man die Funktion, besteht Lebensgefahr an offenen Kontakten.
Nutzt man die Lücken in passender Kombination, lässt sich sogar die Wechselspannungserzeugung der Geräte manipulieren. Auch das dauerhafte Durchschalten aller Transistoren ist möglich. Passiert das im Netzbetrieb, wird der resultierende wechselspannungsseitige Kurzschluss mindestens die Schmelzsicherung des Wechselrichters zerstören – wenn nicht auch seine Transistoren. Dass das tatsächlich geht, hat der Hinweisgeber mit einer Kleinspannung verifiziert.
Hersteller bislang stumm
In einer am Dienstag abgeschickten E-Mail baten wir den chinesischen Hersteller um Stellungnahme. Obwohl wir mehrere Abteilungen des Unternehmens kontaktierten sowie einen Techniker des Unternehmens und den Senior Sales Manager for Europe direkt anschrieben, bekamen wir weder eine Empfangsbestätigung, noch kam ein Kontakt zustande. Bereits in der Vergangenheit hatte c't Schwierigkeiten, Kontakt zu Hoymiles aufzubauen und eine fließende Kommunikation blieb bislang aus.
Balkonkraftwerke bauen und cloudlos betreiben
Leitfaden: Wie Sie kleine und groĂźe Balkonkraftwerke bauen
Telemetriegeräte für kleine und große Balkonkraftwerke im Test
Nutzer von Hoymiles DTUs sollten die Geräte nun schnellstmöglich vom Internet trennen, sodass keine Befehle mehr über den Clouddienst an die Wechselrichter gelangen können. Wer nicht auf Ertragsüberwachung verzichten möchte, sollte sich die Alternativen Ahoy- und OpenDTU ansehen. Fertige Geräte gibt es im Netz zu kaufen. Da es sich um cloudlose und herstellerunabhängige Firmwares handelt, sind sie von der Lücke nicht betroffen.
Hoymiles hat die SicherheitslĂĽcken in der Zwischenzeit teilweise geschlossen.
Hoymiles hat in der Nacht zum Freitag auch die restlichen SicherheitslĂĽcken in der API gestopft.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(amo)