Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Ungeschützte Wechselrichter: Hoymiles verspricht Update

Дата публикации: 15-07-2026 06:26:00

Angreifer können durch Sicherheitslücken in Hoymiles-Wechselrichtern die Geräte aus der Ferne lahmlegen. Ein Update soll das ändern.

Основное содержимое страницы с новостью.

In der vergangenen Woche hat der Chaos Computer Club (CCC) auf eine Sicherheitslücke in Wechselrichtern von Hoymiles hingewiesen, durch die die Geräte aus hunderten Metern Entfernung manipuliert, abgeschaltet oder sogar zerstört werden können. Jetzt hat der Hersteller reagiert und verspricht ein Firmware-Update, das derartige Angriffe verhindern soll.

Das Problem geht laut CCC von dem proprietären DTU-Protokoll aus, das Hoymiles für die Funkverbindungen zu den Mikrowechselrichtern einsetzt. Das bringt durch Funk im 868-MHz-Bereich größere Reichweite als WLAN, allerdings haben die Ingenieure keine Verschlüsselung implementiert; die Geräte der HM-Serie sprechen DTU jedoch auf dem 2,4-GHz-ISM-Band, wodurch der Reichweitenvorteil da nicht gegeben ist. Als Sicherheitsmechanismus dient eine Prüfung auf die letzten acht Stellen der Seriennummer, die die Pakete mitbringen müssen. Allerdings gibt es einen Befehl, der die Geräte zur Übermittlung ihrer Seriennummer veranlasst, was Angreifer mittels Broadcast aus hunderten Metern Entfernung ausnutzen können, um danach auf die verwundbaren Geräte einfach zuzugreifen. Laut CCC-Einschätzung lässt sich so etwa auch die Firmware ohne Authentifizierung über Funk austauschen.

Hoymiles verspricht Update

Gegenüber dem pv magazine hat Hoymiles sich zu dem Problem geäußert. Demnach seien lediglich ältere Geräte der HM-Serie betroffen, die seit 2023 nicht mehr vertrieben werden. Laut dem CCC-PDF sind allerdings auch die neueren HMS- und HMT-Serien potenziell angreifbar. Das Unternehmen arbeitet an der Erstellung eines Firmware-Updates für die HM-Wechselrichter und kündigt das Release zum 30. August 2026 an. Ein angeblicher veröffentlichter Kundenhinweis auf der Hoymiles-Webseite lässt sich jedoch nicht direkt auffinden.

Das Update soll bei der Veröffentlichung auf die Geräte der Kunden aufgespielt werden. Bis dahin müssten Kunden ihre HM-Wechselrichter nicht abschalten oder austauschen, versicherte der Hersteller. Den Zeitplan und die geplanten Maßnahmen habe Hoymiles auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt. Das Firmware-Update soll zur Verschlüsselung einen AES-128-CBC-Cipher nachrüsten und einer Sicherheitsprüfung gemäß EU-Funkgeräterichtlinie RED EN 18031 unterzogen werden.

Die nachgerüstete Verschlüsselung würde den vorgestellten Angriff unterbinden und zudem auch das einfache Belauschen von Verbindungen etwa zum Herausfinden der Seriennummer unterbinden.

(dmk)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Sicherheitslücke bei Balkonkraftwerken: Millionen Anlagen könnten betroffen sein0713-07-2026
2Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken0513-07-2026
3Kritische Sicherheitslücken bei Yarbo-Mährobotern entdeckt-3710-06-2026
4SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken-2615-07-2026
5В Анапе отменили угрозу атаки БПЛА0507-07-2026
6В Анапе отменили угрозу атаки БПЛА0506-07-2026
7Schon wieder: Forscher leakt Zero-Day für Windows0510-06-2026
8M5Burner: Flash-Tool für M5Stack-Geräte potenziell gefährlich-2714-07-2026
9SUSE Python-Lxml Moderate Local File Read Threat Update 2026-2728-10503-07-2026
10В Югре отменили беспилотную опасность0506-07-2026

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 5. Источник: www.heise.de.