Balkon santralleri: Deye’den mikro invertörlerde güvenlik açığı
Çinli üretici Deye’nin balkonlu elektrik santrali mikro invertörleri ciddi bir güvenlik sorunu yaşıyor: Üretim verilerini internete ilettikleri yerleşik bir WLAN bağlantısına sahip kendi türlerinde tek cihazlar bunlar. Ancak yerleşik erişim noktasının erişim verileri kapatılamaz – yakındaki herkes bağlanabilir ve böylece ev ağının erişim verilerine de erişebilir. İndirimci Netto da dahil olmak üzere, Deye invertör satan Alman bayiler, soruna ilişkin içgörüden yoksundur. Firmware güncellemesi var.
isyan, Bosswerk, Deye
Almanya’da balkon santral inverterleri farklı isimler altında dolaşımdadır. Pearl perakendecisi bunları revolt adı altında satıyor, Greenakku çevrimiçi mağazasında Bosswerk olarak adlandırılıyorlar ve Netto bunları Deye üretici adı altında eksiksiz balkon elektrik santrali paketine dahil etti. WLAN üzerinden İnternet bağlantısı kurarlar ve verileri Solarman sağlayıcısının sunucusuna gönderirler. Oluşturulmasını uygulama aracılığıyla ve tarayıcıda değerlendirebilirsiniz.
Solarman arayüzünde, üretim verilerini değerlendirebilir ve ayrıca kaydedicinin mevcut donanım yazılımı sürümünü okuyabilirsiniz. Ancak, kullanıcılar üretici yazılımını güncelleyemez.
Güvenlik sorunu, 2022 yazı invertörlerinde ve şu anda satılan cihazlarda önceden yüklenmiş olarak bulduğumuz MW3_15U_5406_1.47 ve MW3_15U_5406_1.471 (ve muhtemelen diğerleri) ürün yazılımı sürümlerinde yatmaktadır. Kullanıcı olarak eviricinin açtığı bir erişim noktasına bağlanırsınız ve 12345678 anahtarını kullanırsınız. Kendi WLAN’ınız için erişim verilerini web arayüzüne girersiniz ve ardından erişim noktasını kapatır veya anahtarını değiştirirsiniz. Cihaz artık WLAN’a bağlanacağı için bu erişime artık gerek yoktur. Sorun: Kaydet düğmesi çalışmıyor, evirici erişim noktasını kapatmıyor ve anahtar olarak 12345678 de değiştirilemiyor.
Bir komşunun bu güvenlik açığından faydalanması kolaydır. Deye cihazlarının SSID’sini belirlemek kolaydır ve varsayılan anahtar iyi bilinir. Bağlandıktan sonra çok fazla hasar verebilirsiniz. Bir AT komutu kullanarak, çok daha değerli erişim verilerini ev WLAN’ına casusluk yapmak mümkündür. Okuyucuların bildirdiği gibi, eviriciyi şebeke senkron çalışmasından ada moduna geçirmek için bir AT komutu da vardır – bunu test etmedik. İnverteri şebekeye bağlıyken değiştirmek, tam bir kayba neden olabilir.
e-posta yoluyla çözüm
Sorunun çözümleri zaten çeşitli forumlarda açıklanmıştır ve çok sayıda okuyucu, invertörü MW3_16U_5406_1.53 yeni aygıt yazılımı sürümüne güncellemenin nasıl mümkün olduğunu açıklamıştır. Buna göre Deye desteğe ([email protected]) İngilizce e-posta yazıp seri numarasını söylemeniz ve güncelleme istemeniz yeterlidir. İki ila üç gün sonra, postaya herhangi bir yanıt verilmeden yeni aygıt yazılımı içe aktarılmış olmalıdır. Yazı işleri ekibimizden bir test sistemini güncellemek için Ocak ayının başında bu tavsiyeye uyduk. 3 Şubat itibariyle güncelleme henüz gelmedi.
Web arayüzünde veya Solarman uygulamasında, üreticiden bir güncellemeyi kendiniz çağırmak için herhangi bir düğme yoktur. Web arayüzünde yalnızca kendi bilgisayarınızdan bir üretici yazılımı dosyası yükleyebilirsiniz – ancak üretici bunu indirilebilir hale getirmez. Destek postası yoluyla dolaşmak şu anda tek yol gibi görünüyor – güvenlik açısından kritik güncellemenin neden ülke çapında yüklenmediği ve uzaktan güncellemenin mümkün olduğu durumlarda yalnızca talep üzerine yüklenmediği yanıtlanamıyor.
Bayilerden çözüm yok
Deye inverter satan bazı bayilerin tavrı da şüpheli. Bir okuyucuya gönderilen bir e-postada, Netto’daki destek ekibi şöyle yazıyor: “Mikro invertörü normal ev ağına değil, ayrı bir konuk WLAN’a entegre etmenizi öneririz.” “WLAN’a dışarıdan izinsiz girişlere karşı mümkün olan en iyi korumayı elde etmek için, kullanılan WLAN’da MAC adresi aracılığıyla bir erişim kontrolü ayarlamanızı da öneririz.” Her iki ipucu da sorunu çözmüyor ve gerçekten güvenli de değil – sahip olduğumuz posta geçmişine göre şirket, okuyucunun bir aygıt yazılımı güncellemesi sağlama talebine yanıt vermedi.
Deye inverter operatörleri için durum iç açıcı değil. E-postayı en kısa sürede üreticiye göndermelisiniz. Ancak, yalnızca Alman satıcılar güncellemeyi tüm panoya yüklemesi için Çinli üreticiye baskı yapabilir.
(yum)
Haberin Sonu