Hoymiles: Schwachstelle geschlossen, Vorwürfe zurückgewiesen
von caschy | 6 Kommentare
Hoymiles ist ein chinesischer Hersteller von Wechselrichtern. Sie können mit und ohne Anbindung an das Internet betrieben werden. Bei denen, die angeschlossen sind, war wohl eine Manipulation durch Dritte über die S-Cloud möglich. So ließen sich über eine Schnittstelle Befehle auf fremden Wechselrichtern ausführen. Laut Homyles war es zu keinem Zeitpunkt möglich, Geräte aus der Ferne kurzzuschließen oder andere Dinge zerstörerischer Art durchzuführen.
Heise hingegen berichtet, dass ein Sicherheitsforscher, der die App und das API untersucht hatte, einen Weg fand, manipulierte Firmwares auf den Hoymiles-Server zu schmuggeln und diese für alle DTUs (die für die Verbindung ins Netz voraussetzend sind) und Wechselrichter zur Verfügung zu stellen. Mit der Dokumentation des von Hoymiles in den Wechselrichtern verwendeten Mikrocontrollers konnte er eine Firmware entwickeln, die einen Kurzschluss hervorruft oder die Sicherheitsfunktionen (NA-Schutz, Inselschutz) außer Kraft setzt. Es gelang ihm, einen Wechselrichter, der nicht mit seinem Account verknüpft war, über das API dazu zu bringen, die Firmware zu installieren. Getestet und dokumentiert hat er das Vorgehen auf einem eigenen Wechselrichter – den Befehl zum Updaten hätte ein böswilliger Angreifer massenhaft für fremde Wechselrichter auslösen können.
Laut Hoymiles habe man den Fehler mit dem Zugriff innerhalb von 24 Stunden nach der Meldung beheben können. Hoymiles ist der Ansicht, dass die Aussagen im Bericht »über die er Wechselrichter derart manipulieren könnte, dass Infrastruktur beschädigt und der Wechselrichter zerstört wird«, falsch sind. Die Steuerbefehle, die von diesem Fehler betroffen waren, sind Routineoperationen innerhalb des steuerbaren Schutzbereichs des Wechselrichters, einschließlich Fernneustart, Ein- und Ausschalten, Lesen von Geräteversionsinformationen und Leistungsbeschränkung. Dies wird weder den normalen Schutz der Wechselrichter beeinträchtigen, noch die persönliche Sicherheit gefährden. Man geht sogar so weit zu sagen, dass man sich das Recht vorbehält, rechtliche Schritte einzuleiten, um eine Wiedergutmachung für falsche Behauptungen und Rufschädigung gegen die Marke Hoymiles zu suchen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
ohje wenn das am Ende nicht nach hinten losgeht. ich meine der Typ hat es dokumentiert…
danach ist die Marke endgültig tot
Warum sollten sie tot sein und was soll nach hinten losgehen? Im Gegensatz zu anderen Firmen wurde der Fehler nicht ewig dementiert und binnen sehr kurzer Zeit behoben. Da fand ich Deye mit der physikalisch fehlenden Abschaltvorrichtung kritischer.
Das grundlegende Problem ist – wen überrascht es – die Cloudanbindung, die ich bei seeeeehr vielen IOT-Geräten für kritisch und meist unnötig halte, aber das darf jeder selber bewerten.
Bestätigt mich dann immer wieder in der Entscheidung mein smart Home lokal aufgebaut zu haben. Inkl. einer OpenDTU für *tada* einen Hoymiles Wechselrichter 🙂
warum sollte die Marke danach endgültig tot sein. Die meisten Reviews bescheinigen den Hoymiles Geräten hervorragende Ergebnisse. Sehr effizient, fast keinerlei technische Ausfälle, „Releais“ sind vorhanden im Gegensatz zu Anderen ;-p und sie sind kostengünstig. Auch das ein Hersteller eine Sicherheitslücke innerhalb von Rekordzeit schließt zeugt nicht grade davon dass man Kunden am langen Arm verhungern lässt sobald sie das Produkt mal erworben haben.
Im Zweifelsfall glaube ich erstmal dem Hersteller besser zu wissen was die Software oder Hardware erlaubt oder eben nciht erlaubt bis das Gegenteil bewiesen ist. Dem Verkaufserfolg wird das hier wohl kaum einen Abbruch tun, da die Lücke ja schon zu war bevor sie überhaupt großflächig bekannt wurde.
Im heise Artikel wurde aber schon der Beweis des Gegenteils dargestellt. In den restlichen Punkten schließe ich mich an. Hab einen Hoymiles, aber derzeit keinerleit DTU, mir reicht derzeit die Info vom Shelly Plug S. Werde aber wohl langfristig was mit einer offenen DTU Lösung basteln.
Was noch dazu kommt: Da betraf ja nur Geräte, die über die eigene DTU mit dem Internet verbunden sind!
Ich glaube aber nicht, das viele diese überhaupt nutzen, die DTU ist ja für den Normalbetrieb nicht notwendig. Die Leute, die eine DTU brauchen nehmen eh meist Ahoy, und das läuft ohne Cloud.
Absolut vorbildliche Reaktionszeit von Hoymiles, das bekommen nicht viele so schnell hin.
Ohne die konkrete Sicherheitsanalyse gesehen zu haben: wenn der NA-Schutz korrekt implementiert ist, also einfehlersicher mit Hardware-Relais und nicht nur per Software implementiert ist, sollte der sich auf keinen Fall per Software-Manipulation abschalten lassen. Und solange Hoymiles keine Produktlinie hat, die auf der selben Hardwarebasis einen WR im Inselbetrieb realisiert, glaube ich das auch nicht.
Aber was ich „glaube“ und was Heise mit der erhaltenen Sicherheitsanalyse eventuell nachvollziehen kann, sind zwei verschiedene Dinge. Ohne alle Behauptungen selber sauber verifiziert zu haben, hätte ich erstmal gar nichts gesagt. Mal sehen was am Ende dabei herauskommt.