Balkon Santralleri: Deye’nin Mikro İnvertörlerindeki Güvenlik Açıkları
Çinli üretici Deye’nin balkon elektrik santralleri için mikro invertörleri ciddi bir güvenlik sorununa sahiptir: Üretim verilerini internete ilettikleri entegre bir WLAN bağlantısına sahip türünün tek cihazlarıdır. Ancak entegre erişim noktası için erişim verileri devre dışı bırakılamaz: Yakındaki herkes bağlanabilir ve böylece ev ağı için erişim verilerine de erişebilir. İndirimci Netto da dahil olmak üzere Deye invertör satan Alman perakendeciler, sorunu net bir şekilde anlamıyor. Firmware güncellemesi var.
isyan, Bosswerk, Deye
Almanya’da balkon güç istasyonu invertörleri farklı isimler altında dolaşıyor. Pearl satıcısı onları isyan adı altında satıyor, Greenakku çevrimiçi mağazasında Bosswerk olarak adlandırılıyorlar ve Netto bunları Deye üretici adı altında balkon güç merkezi eksiksiz paketine dahil etti. WLAN üzerinden İnternet bağlantısı kurarlar ve verileri Solarman sağlayıcısının sunucusuna gönderirler. Oluşturulmasını uygulama aracılığıyla ve tarayıcıda derecelendirebilirsiniz.
Solarman arayüzünde, üretim verilerini değerlendirmek ve ayrıca kaydedicinin mevcut donanım yazılımı sürümünü okumak mümkündür. Ancak, kullanıcılar üretici yazılımını güncelleyemez.
Güvenlik sorunu, 2022 yazı invertörlerinde ve şu anda satılan cihazlarda önceden yüklenmiş olarak bulduğumuz MW3_15U_5406_1.47 ve MW3_15U_5406_1.471 (ve muhtemelen diğerleri) ürün yazılımı sürümlerinde yatmaktadır. Bir kullanıcı olarak, eviricinin açtığı ve 12345678 anahtarını kullandığı bir erişim noktasına bağlanırsınız. WLAN’ınız için erişim verilerini web arayüzüne girersiniz ve ardından erişim noktasını kapatır veya anahtarını değiştirirsiniz. Bu oturum açma işlemi artık gerekli değildir çünkü bundan sonra cihazın WLAN’a bağlanması gerekir. Sorun: kaydet düğmesi çalışmıyor, evirici erişim noktasını kapatmıyor ve hatta anahtar değiştirilemediği için 12345678.
Bir komşunun bu güvenlik açığından faydalanması kolaydır. Deye cihazlarının SSID’sini belirlemek kolaydır ve varsayılan anahtar iyi bilinir. Bağlandıktan sonra çok fazla hasar verebilirsiniz. Bir AT komutu kullanarak ev WLAN’ınıza çok daha değerli erişim verilerini gözetlemek mümkündür. Okuyucular tarafından bildirildiği üzere, invertörü şebeke senkron çalışmasından ada moduna geçirmek için bir AT komutu da vardır – bunu test etmedik. İnverteri şebekeye bağlıyken değiştirmek, tam bir kayba neden olabilir.
e-posta ile çözüm
Sorunun çözümleri zaten çeşitli forumlarda açıklanmıştır ve birçok okuyucu inverteri MW3_16U_5406_1.53 yeni ürün yazılımı sürümüne güncellemenin nasıl mümkün olduğunu açıklamıştır. Bu nedenle, Deye Support’a ([email protected]) İngilizce bir e-posta yazın, onlara seri numaranızı söyleyin ve bir güncelleme isteyin. İki veya üç gün sonra, postaya yanıt verilmeden yeni üretici yazılımının alınmış olması gerekirdi. Editörlerimizin Seçimi’nden bir test sistemini güncellemek için Ocak ayı başlarında bu tavsiyeye uyduk. 3 Şubat itibariyle güncelleme henüz gelmedi.
Web arayüzünde veya Solarman uygulamasında, üreticiden bir güncellemeyi kendiniz çağırabileceğiniz bir düğme yoktur. Web arayüzünde, yalnızca bilgisayarınızdan bir bellenim dosyası yükleyebilirsiniz, ancak üretici bunu indirilebilir hale getirmez. Destek postası yoluyla yönlendirme şu anda tek yol gibi görünüyor – çünkü kritik güvenlik güncellemesi ülke çapında yüklenmedi ve yalnızca talep üzerine, uzaktan güncellemenin mümkün olduğu yerlerde yanıt vermek mümkün değil.
Bayilerden çözüm yok
Deye inverter satan bazı bayilerin tavrı da şüpheli. Bir okuyucuya gönderilen bir e-postada Netto destek ekibi, “Mikro invertörü normal ev ağınıza değil, ayrı bir konuk WLAN’a entegre etmenizi öneririz.” “WLAN’a harici izinsiz girişlere karşı mümkün olan en iyi korumayı elde etmek için kullanılan WLAN’da MAC adresine göre bir erişim kontrolü kurmanız da önerilir” diye devam eder. Bu önerilerin hiçbiri sorunu çözmüyor ve ayrıca gerçekten güvenilir değiller: Elimizdeki posta geçmişine göre şirket, bir okuyucunun ürün yazılımı güncellemesi sağlama talebine yanıt vermedi.
Deye inverter operatörleri için durum iç açıcı değil. E-postayı mümkün olan en kısa sürede üreticiye göndermelisiniz. Ancak, yalnızca Alman satıcılar Çinli üreticiye güncellemeyi tüm panoya yüklemesi için baskı yapabilir.
(yum)
Haberin Sonu