Alarm: Sicherheitslücken in Mikro Wechselrichter von Deye

Es gibt 2 Antworten in diesem Thema, welches 1.696 mal aufgerufen wurde. Der letzte Beitrag () ist von anfaenger.

    Quelle: Heiße.de

    Balkonkraftwerke: Sicherheitslücke in Mikrowechselrichtern von Deye
    Mikrowechselrichter von Deye werden mit unsicherer Firmware ausgeliefert. Helfen kann nur der chinesische Hersteller, doch das Update gibt es nur auf Anfrage.
    www.heise.de


    In den Mikro Wechselrichter von Deye klafft eine riesige Sicherheitslücken.

    Diese Wechselrichter haben ein integriertes WLAN und spannen für die Ersteinrichtung einen AP auf.

    Dessen WLAN hat ein Standard Passwort.

    Beim in Betrieb nehmen loggt man sich auf dem AP ein und verbindet es dort unter anderem mit dem eigenen WLAN.

    Ändert man nun das Standard Passwort oder schaltet den AP vermeintlich aus, so ändert sich weder das Passwort noch wird der AP deaktiviert.

    Jeder der sich nun ein wenig auskennt und WLAN scannt, findet nun den AP und kann sich einloggen.

    Mit wenig Kenntnis und einigen AT Kommandos kann man zB die Zugangsdaten des eigenen WLAN auslesen, schlimmer noch man kann den Wechselrichter von Synchron Modus in den Inselbetrieb nehmen was, solange der Wechselrichter am Stromnetz hängt, diesen zerstört.

    Die Deye Wechselrichter laufen auch unter anderem Namen: zB bei Pearl "revolt", bei Green-Akku "Bosswerk" und Netto hat sie in ihrem Balkonkraftwerk komplett Set.

    Meist wird die App "Solarman" verwendet.

    Weder die Wiederverkäufer noch Deye bieten offiziell ein Update an.

    Einzig eine Mail mit Seriennummer und bitte um Update, an Deye, bewirkt vereinzelt das ein OTA Update durchgeführt wird.

    Vielleicht gibt es demnächst ein Update File, aber wer weiß.

    Von Heise.de (Quelle: https://www.heise.de/news/Deye…-WLAN-Luecke-7494024.html )

    kommt die Mitteilung das Deye jetzt automatisch das Update einspielt.

    Selbst wer seinen Micro Wechselrichter nicht über das Netz ausliest und diesem keinen INet zugriff gewährt hat sollte dies machen um die neue FW zu bekommen (kann man danach wieder abschalten). Wer es nicht macht hat dauerhaft den Werkseitigen AP aktiviert und auch das Standard Passwort.

    Seit 1. Februar gibt es bereits auf mehreren Webseiten Anleitungen und die Firmwaredatei für den Deye Wedchselrichter (und baugleich > Bosswerk etc.) zum Downloaden und manuellen Updaten des Wechselrichters...... ich würde mich nicht auf die "automatische Aktualisierung" verlassen.

    Ohne vorherigen Kontakt zu Deye und vorallem SOFORT ausführbar ...... ohne auf Deye zu warten (laut aktuellen News mind. ca. 30 Minuten)


    Die Sicherheitslücke ist bereits seit Anfang / Mitte Dezember 2022 bekannt


    Zu beachten: Der Wechselrichter muß dafür "arbeiten"
    > angeschlossenen Module, die auch Leistung an den Wechselrichter liefern

    > Module am Eingang über Labornetzteil simulieren


    Hier eine Webseite:

    So aktualisieren Sie Ihren DEYE Mikrowechselrichter - Schritt-für-Schritt-Anleitung - ZINNZGREEN
    Wir zeigen Ihnen, wie Sie Ihren DEYE Mikrowechselrichter einfach und sicher aktualisieren können. Folgen Sie unserer Schritt-für-Schritt-Anleitung.
    zinnzgreen.de