IT-Sicherheitslücke im Wechselrichter

[michael]

Vor kurzem wurde eine Sicherheitslücke u.a. in den Wechselrichtern der Firma Deye bekannt. Diese Sicherheitslücke betrifft auch die aktuelle Lieferung der Sammelbestellung

Hintergrund
Der WLAN-Accesspoint des Wechselrichters verwendet ein Passwort, dass sich nicht ändern lässt. Ist der Wechselrichter ins Heimnetzwerk eingebunden, kann jemand mit Hilfe dieses Passwortes ohne größere Schwierigkeiten in dein Netzwerk zu Hause eindringen.
Der Hersteller hat den Fehler bereits behoben. Der Fa. Ökostromhelden liegt eine verbesserte Software für den Wechselrichter vor. Derzeit wird geklärt, wie du die Software auf deinem Wechselrichter aktualisieren kannst.
Wir empfehlen mit dem Einbinden des Wechselrichters in dein eigenes Netzwerk zu warten, bis die Software auf deinem Wechselrichter aktualisiert ist. Die Stromerzeugung ist davon nicht betroffen. Die Wechselrichter arbeiten auch ohne WLAN-Anschluss. Lediglich die Nutzung der Solarman-App bzw. das Abrufen der erzeugten Energiemenge ist nicht möglich.
Sobald uns Informationen über die Update-Prozedur vorliegen, informieren wir hier im Forum.

Wen die Details zum Problem interessieren, kann hier nachlesen:
https://www.photovoltaikforum.com/thread/187077-achtung-wifi-sicherheit-der-deye-und-bosswerk-mi600-300-sowie-baugleiche-microwe/?pageNo=1

• Dieses Thema wurde geändert vor 11 Monaten von michael.
• Dieses Thema wurde geändert vor 11 Monaten von michael.

[michael]

Update:
Uns wurde mitgeteilt, dass die automatische Softwareaktualisierung durch Deye aus Datenschutzgründen nicht so einfach machbar ist. Derzeit wird ein alternatives Verfahren mit zugehöriger Anleitung von verschiedenen Personen getestet. Dauert also hoffentlich nicht mehr allzu lange…

[Kai]

Hallo, bei Heise.de findet sich eine aktuelle Antort zur Behebung der Sicherheitslücke. Man kann wohl eine Mail an den Hersteller senden und ihn auffordern, ein auf die Person bezogenes Update durchzuführen. Das scheint bei einigen Personen dann gemacht worden zu sein.
Link zur Info:
https://www.heise.de/news/Sicherheitsluecke-bei-Mikrowechselrichtern-von-Deye-Haendler-nicht-zustaendig-7483376.html

[Sascha]

Hallo.
Am Montag, 13.2.23 wurde ein weiterer Beitrag unter Heise.de zum Thema Sicherheitslücke veröffentlicht.
“..Alle Wechselrichter, die für 30 Minuten mit dem Internet verbunden sind, sollen das Update automatisch erhalten..”
Weiterer Hinweis “Nichts tun ist keine Lösung”
Hier der Link zu heise.de:
https://www.heise.de/news/Deye-reagiert-Automatisches-Update-fuer-Wechselrichter-mit-WLAN-Luecke-7494024.html
Echt schade, dass die volle Funktionalität des Monitorings, welche ich im Kleingedruckten unter “WLAN-Kommunikation integriert, Leistungsanzeige direkt auf PC, Tablet oder Smartphone” erwartet hatte, mit so viel Risiko verbunden ist.

Bin mal gespannt, welche Meldungen dann als nächstes zum Thema Deye und IT-Sicherheit kommen.

[Deichkind]

Hallo Zusammen,

habe am Wochenende den Testbetrieb gestartet. Es fliesst Strom und auch die Firmware scheint sich wie oben beschrieben automatisch zu aktualisieren. Geht man auf Gerätedetails -> Logger (Online) -> Doppelklick erscheint die Versions-Information:

Module Version No：MW3_16U_5406_1.53
Extended System Version：V1.1.00.0F

Gruss
Deichkind

[michael]

Auf der Seite der Ökostromhelden.de ist nun auch eine Info dazu:

a) Die Software auf dem Wechselrichter (Firmware) wird nach der Solarman-Inbetriebnahme automatisch aktualisiert.

b) Wer das manuell (ohne Solarman) durchführen möchte, findet auf der Seite eine Firmware-Datei zum herunterladen und eine ausführliche Anleitung

https://www.oekostromhelden.de/produkt/deye-sun300g3-eu-230-300w-micro-wechselrichter-mit-wlanfuer-mini-pv-balkonkraftwerk/

[Autor]

Beiträge