Sicherheitslücke bei Hoymiles Wechselrichtern

Wir versuchen hier das Problem ganz ruhig darzustellen, auch weil es derzeit sehr viel, teils reißerische Berichterstattung (besonders Übel die Mischung aus Clickbait und China scare beim Standard) darüber gibt. Eine gute Ausnahme ist der Artikel von Clean Thinking. Es empfiehlt sich auch die Originalveröffentlichung beim CCC und den Sicherheitsbericht zu lesen

Wer ist betroffen?

Es gibt zwei Arten von Hoymiles Kleinwechselrichtern, beispielhaft seien die meistverkauften genannt:

HMS-800-W-2T  haben ein integriertes WLAN Modul und damit können sie über das Internet mit der “ S-Miles Cloud“ reden und dann die Erzeugung in der Hoymiles App darstellen. Das wünschen einige Nutzer:innen, damit sie immer sehen, wie viel Strom ihr Steckersolargerät erzeugt. Diese Geräte sind nicht betroffen.

Daneben gibt es die HMS-800-2T – genau da fehlt das W. Diese haben kein WLAN eingebaut, sondern kommunizieren über den Hoymiles DTU-WLite-S USB Stick oder Open DTU. Der nutzt eben kein WLAN, sondern eine Funktechnik, die als drahtlose Sub-1G-F oder 802.11b/g/n bezeichnet wird. Die hat den Vorteil, dass sie wesentlich weiter reicht und auch besser durch Wände durchgeht und auch weniger Strom braucht als das WLAN. Diese Geräte sind betroffen.

Gongfa

Nun gibt es in der Firmware die sog. ”Search ID” bzw. poetischer “Gongfa” Kommando, dadurch strahlt der empfangende Wechselrichter seine Seriennummer ab. Das wäre ungefährlich, wenn nicht die Seriennummer der “geheime” Schlüssel wäre, den man braucht, um Kontrolle über den Wechselrichter zu übernehmen. Wenn ich die Kontrolle habe, kann ich etwa Sicherheitsfunktionen wie das Anti-Islanding abschalten oder das Grid Profil ändern oder den Wechselrichter abschalten.

Gedacht ist die Funktion für Installateure: Es gibt nicht nur Menschen, die zwei Solarpanels an den Balkon hängen, sondern auch Menschen, die ein ganzes Haus mit Solarpanels ausstatten. Wenn die nicht einen großen Wechselrichter verwenden, sondern viele kleine Wechselrichter mit individuellen MPPT um etwa unterschiedliche Winkel zu optimieren und aus jedem Panel das Beste rauszuholen oder auch um wandernden Schatten, der dann ein Panel runterzieht nicht die Leistung der ganzen runterziehen zu lassen, dann habe ich am Ende sehr viele kleine Wechselrichter. Jetzt will der Installateur vielleicht nicht jede Seriennummer per Hand abschreiben und eingeben, sondern nutzt das “Gongfa” Kommando, um einfach schnell alle Geräte einzupflegen. 

Da aber nun der Funkstandard Sub-1G recht weit reicht, kann er damit ggf. auch Geräte in der Nachbarschaft sehen und steuern. Oder es könnte jemand mit so einem USB Stick einfach mal durch die Nachbarschaft fahren, sog. „WarDriving“ und mal schauen, was er an Steckersolargeräten sieht. 

Das ist eine Sicherheitslücke.

Benedikt Heinz (der Sicherheitsforscher, der das ganze ins Rollen gebracht hat) hat nicht alle Geräte getestet, aber bei

  • HMS-600/700/800/900/1000-2T 
  • HMS-1600/1800/2000-4T 
  • HM-300/350/400-1T 
  • HM-600/700/800-2T 
  • HM-1000/1200/1500-4T 
  • HM-1000/1200/1500-4T
  • HERF-600/800-2T
  • HERF-1600/1800-4T

entsprechende Antworten des Systems erhalten können. Da Hoymiles Wechselrichter auch als Solenso and TSUN verkauft werden, betrifft es also nicht nur Hoymiles. 

Bisher sind uns auch keine Angriffe dieser Art bekannt. 

Abhilfe

Die Abhilfe dürfte nicht so leicht sein. Was wahrscheinich nicht funktionierten wird ist um die Antenne des betroffenen Wechselrichters Alufolie zu wickeln, da das SUB 1 G dennoch rauskommt

Hoymiles muss also einen Patch verursachen und der muss dann auch auf die Geräte aufgespielt werden und dazu braucht man Stand heute die Hoymiles eigene DTU. Viele Menschen haben aber gar keine DTU, da sie die Erzeugung ihres Steckersolargeäres etwa über eine schaltbare Steckdose messen, was wir auch empfehlen. Auch für dieses muss es eine Update Möglichkeit geben.

Benedikt Heinz schlägt in seinem Bericht: “Wireless Interface Vulnerabilities of Hoymiles Microinverters” vor: Den Befehl „Such-ID“ (Gongfa) vollständig entfernen, Die „globalen“ RX-Adressen im Nordic-RF-Chip der HM-Wechselrichter deaktivieren und  DTU-Anfragen sollten sofort verworfen werden, wenn die Zieladresse nicht mit der Seriennummer des Wechselrichters übereinstimmt.

Dieser Forderung schließen wir uns an, aber daneben sollten Update Möglichkeiten auch per Open-DTU installierbar sein. Am besten wäre es, wenn Hoymiles und die Communities zusammenarbeiten würden. 

Allerdings muss man auch sagen: Die Sicherheitslücke ist schon lange bekannt. Am 25.2.26 wurde Hoymiles  informiert, schien aber das Problem nicht zu verstehen und am 12.3.26 haben die Sicherheitsexperten des CCC auch Hoymiles, CERT-Bund und BNetzA informiert. Ob die BNetzA etwas getan hat, ist derzeit nicht bekannt.

Was tun?

“Eine sichere Firmware mit stärkerer Verschlüsselung hat Hoymiles für Mitte Oktober angekündigt. Bis dahin bleibt als einzige Minimalhürde, ein individuelles Passwort für die Funkschnittstelle beziehungsweise die WLAN-Datenerfassung (DTU) zu setzen, sofern das Gerät das zulässt, statt beim Werksstandard zu bleiben”

Quelle: https://www.cleanthinking.de/balkonkraftwerk-sicherheitsluecke-hoymiles/

Wir haben Hoymiles bisher als einen sehr zugänglichen Wechselrichter Hersteller erlebt, der auch immer wieder Anregungen von uns oder aus der Community aufgenommen hat. Wir sind sowohl mit den Sicherheitsforschern als auch mit unseren Hoymiles Kontakten in Kontakt und haben mit denen auch schon telefoniert und auf die Dringlichkeit der Problematik hingewiesen.

Medienberichte:

Disclosure

Hoymiles war einer der Sponsoren unseres Weltrekordversuch 2024 und des geplanten Weltrekordversuch 2026.

Veröffentlicht in Alle.

Schreibe einen Kommentar