布里斯班的一名研究人员声称,Sungrow的逆变器存在严重的安全漏洞。阳光和他在一起不开心。
更新:补丁可用-见故事结束
几个月前我写了安全在家用可再生能源领域,布里斯班的一名工程师买了一台Sungrow SH5k-20逆变器,决定“四处逛逛”,并声称发现了一系列严重的安全漏洞。
Sungrow的反应吗?愤怒地否认存在任何安全威胁,声称攻击其设备需要“非凡的努力和专业知识”,对研究人员(该公司将其标记为“犯罪者”)提出法律威胁,并要求“所有相关人员”(我们认为这包括该博客)不要“进一步转发误导性信息”。在这里是这封信的复印件。
那么争论的焦点是什么呢?这位不愿透露姓名的研究人员告诉SolarQuotes,我们可以称他为特拉维斯,逆变器中的内置Wi-Fi热点是不安全的。
他说,该热点在默认情况下是启用的,没有软件选项可以禁用它——必须按照说明物理移除它在这里.
由于SolarQuotes没有所谓的易受攻击的单元可用,我们不能直接确认研究人员的说法的真实性——然而,他向我们描述的那种实现错误是令人沮丧的常见。
特拉维斯告诉我们,连接Wi-Fi热点是使用Sungrow的智能手机应用程序,该应用程序通过了“许多安装程序级别的凭据”,而且没有加密,热点有一个隐藏的Web界面,无需认证也可以访问。
他说,“不费多大力气”,攻击者就能窃取用户的证书和Wi-Fi密码。
在他的公开页面上,Travis描述了他认为攻击者可以破坏目标系统的方式。
虽然“批准的”连接Wi-Fi的方法是Sungrow应用程序,但热点是开放的,并将在Wi-Fi扫描中显示为SG-###########(散列是序列号),任何人都可以在没有密码的情况下连接。与Wi-Fi系统的典型情况一样,在露天的范围可能高达150米,因此攻击者可以很容易地进入系统而不被所有者看到(逆变器的额定安装在外墙)。
该披露概述了几种可能的攻击场景:它说客户的家庭网络处于危险之中;恶意错误配置将用户的电池安装置于危险之中;更熟练的攻击者可以在智能手机应用程序和逆变器之间充当中间人。
Travis告诉SolarQuotes,除了给Sungrow公司提供建议,他还联系了包括澳大利亚联邦警察在内的多个政府机万博体育APP下载构,并表示这些信息已经传递给了清洁能源委员会。我们已经要求CEC确认它是否知道所谓的漏洞。
备注:漏洞披露
在写了几十年关于技术和安全的文章之后,我发现Sungrow的回应是不合时宜的。随着时间的推移,思科(Cisco)、微软(Microsoft)、英特尔(Intel)等科技公司已经发展出了一种积极合作的安全披露方式。
这是一个典型的例子来自网络路由器巨头思科(Cisco)。该建议详细描述了漏洞,告诉客户如何修复,并在底部感谢“Source Incite的Steven Seeley……与趋势科技的零日计划合作”。
既然信息披露已经发布,其他人或组织——其中一些几乎肯定是经过认证的安全研究人员——可以很容易地复制或质疑特拉维斯的发现。
计算机和通信公司有完善的、透明的、公共的程序来处理所谓的安全漏洞。可再生能源也是这个行业的一部分——我们将计算机嵌入产品中,并为它们提供远程控制的通信接口。我们最好在安全问题上采取同样的做法。
更新:补丁可用
好消息是:该公司现在已经发布了修补该漏洞的固件。
研究人员提醒我们更新了他的漏洞披露,宣布了修复的可用性。Sungrow有一个解释视频在这里,及PDF格式说明在这里.
我们很高兴地获悉,该研究人员和阳光公司已经解决了他们的分歧,公司已经为他的发现支付了一笔漏洞赏金。干得好,阳光。
关于Richard Chirgwin
RSS -文章
听起来与特斯拉PW2的工作原理非常相似——它为安装程序或用户访问提供了一个永久热点。我不相信有办法禁用,但是热点的范围有限;thus if you were that close and wanted to do damage you could simply start pulling on cables The access p/w is based upon the serial number, again easily obtained from the sticker on the gateway if you’re near the physical equipment.
谢谢,又是一篇好文章。
我发现重要的问题只在这些博客上讨论,大家做得好。
在本文中提供以前博客的链接对了解更多有很大帮助。
最近,澳大利亚报纸上有一篇关于太阳能电池板安全和丛林火灾的文章,以及火灾的安全。
我总结了Ronald Brakels的博客,并对他的文章表示祝贺,并提到了他的名字。
我选择不提太阳能报价,因为这通常是KOD,导致manbetx平台网址该评论被版主拒绝。
如果我说错了请指正。
SMA的AV范围没有活动热点吗?
我不认为这仅限于Sungrow,但因为他们是测试假人,人们会妄下结论。
在我眼里还是个坚固的单位
我最近也与Sonnen进行了同样无益的讨论。
我最近安装了一个14千瓦时的电池系统
我们有几天来自阵列的输入非常低,所以我联系了我的安装人员,我可以编程让它使用非峰值能量给电池充电。万博体育APP下载
他们提到了Sonnen, Sonnen建议这只能由Sonnen技术人员完成。我问,Sonnen技术人员会知道我什么时候在OP1和使用时间之间切换了物理开关吗?
他说,在他们的保修期内,我不能DIY
在一天结束的时候,我发现这是一个名为“user”的用户的用户域,他们没有透露密码,尽管可以在网上找到
我现在用python脚本编程我自己的电池,如果他们想拒绝我的保修,他们可以打他们喜欢的。奥兹国的消费者保护法站在我这边
从没听说过“电池充电器”和“跳线”??
事实上,大约40年前,我意识到一个120安培的汽车交流发电机(在修车厂售价25美元),由一个合适的固定发动机(试一试放在支架上的摩托车)的皮带驱动,可以轻松快速地为一个由1140ah旧电池组成的大型电池组充电。
请注意,他们不太擅长交谈——也许是因为那时候还没有wi-fi和其他各种毫无意义的废话。
我给他们发了一封电子邮件,说我发现他们的行为令人厌恶,我将不再推荐他们的逆变器。
希望他们能提高水平,公开道歉。
另外,供你参考,如果你在Enphase特使上启用了本地热点,密码是wifi地址的后6位数字。
不是很大的漏洞,但如果wifi路由器的制造商可以生成唯一的地址,那么enphase为什么要挣扎呢? ?
奇怪的是,你在没有评估证据的情况下就表明了立场。我本以为你会在发表声明之前给公司一个回应的机会。
我看了看那封信,在我看来它并不“生气”。当有人提出指控时,这就是你所期望的。
事实上,它似乎解决了这个问题,因为他们不断更新他们的固件,并与CEC合作。
多年来我一直在看你的博客,但现在我不确定了。
也许(作为一个建议)你应该发表指控背后的科学,让同行评议,让行业来决定。只是说说而已
你好,
我没有看到任何“站队”的证据,这篇文章是在报道已经发生的事情。
我想阳光公司的信里有回应。
你不觉得拥有阳光逆变器的人会想知道可能存在的安全问题吗?让他们选择现在禁用,或者等待。我很想知道。
Sungrow自2019年8月以来一直在销售。为什么要等这么久才回复?
第一反应总是否认问题。有什么不同吗?
我找过了,但附近没有太阳树,否则我会试一试。证明或反驳都很容易,那崔维斯为什么要介意这是假的呢?
dRdoS7
我的中国制造的阳光男孩在接通后疯狂地试图打电话回家(德国)。在SB软件中没有选项来关闭它。我把它堵在路由器里了。
所有这些连接都增加了我们没有要求的风险和功能。逆变器需要逆变。只是这一点。
孔子说:“当一切都失败时,找一个更大的锤子。”
完全同意。
接受“坏消息”是优秀管理和优秀领导的一个基本方面。如果你不鼓励员工和客户传达“坏消息”,那么你几乎肯定会在以后收到更坏的消息,那时处理起来会更加困难。
阳光需要对有关安全事务的“坏消息”持开放态度,并利用获得的信息在信息安全立场上寻求更成熟的立场。
(我在IT领域工作了40年,并与IT安全活动相关了大约10年)
鸭子奶奶的一句话是:永远遵循KISS原则。
(当我的老维克塔拒绝按我的要求做时,我放弃了与机器建立关系.....大约65年前。(我后来才意识到他们有一种内在的受虐倾向:因为它经常激怒我踢它!)
谢谢你张贴阳光的信,这是重要的透明度。
不过我得说,我一看到那个
在彭博NEF的最新调查中,我们在逆变器公司中被评为“100%可融资”,“Sungrow失去了我的所有信誉。
希望他们正在阅读这篇博客,并能重新定位他们的客户反应。
我在信息安全行业工作,这种反应并不令人惊讶。我当然不会把SunGrow单独挑出来,因为如果其他逆变器也有类似的问题,我也不会感到惊讶。不幸的是,许多物联网公司在设计时没有考虑安全因素。只有当一个善意的人让他们知道,或者更糟的是,当他们被黑客攻击时,安全性才会提高。
信中有几点值得指出:
*评论“需要恶意黑客的非凡努力和专业知识”。不幸的是不真实的。是的,你需要物理上的接近,但一旦靠近,工具不需要专业知识万博网页版登录网址
*其次,“安全程度令人满意”的评论。我相信他们是,但是“安全”和“安全”是完全不同的东西——事实上几乎是相互排斥的。
#SunGrow需要为其嵌入式WiFi和物联网资产提供管理和控制服务,使其安全正确地运行。
在我看来,至少#英国政府正在尝试一项具有强制性法规的政策。
https://www.gov.uk/government/consultations/consultation-on-regulatory-proposals-on-consumer-iot-security/outcome/government-response-to-the-regulatory-proposals-for-consumer-internet-of-things-iot-security-consultation
“谘询中提出的监管建议主张强制执行最重要的安全要求,这些要求围绕消费者物联网安全业务守则和ETSI技术规范(TS) 103 645的前三个准则的各个方面。这些建议概述如下:
1.物联网设备的密码必须是唯一的,并且不能重置为任何通用的出厂设置。
2.物联网产品制造商提供公共联系点作为漏洞披露政策的一部分。万博体育APP下载
3.物联网产品制造商明确规定了设备接收安全更新的最短时间。
遵守这三个要求并不是“银弹”,但它们是迈向更安全设备的实际第一步。实现市场对这三项准则的全面遵守,将确保消费者获得重要的保护,以抵御最基本的漏洞,例如导致2016年10月Mirai分布式拒绝服务(DDOS)攻击的漏洞。”
#AusGov只有一个自愿准则
https://which-50.com/government-releases-first-australian-iot-code-of-practice/
M_WIFI_RAK475_V25-V01_C.ZIP固件刚刚可供下载的Wi-Fi V25加密狗型号,其他Vxx型号也有最近的更新。
我想知道这个安全漏洞已经被纠正了吗?
我的设备刚刚得到了更新,邮件详细说明wifi连接现在被密码锁定了,密码是打印在每个加密狗上的序列号。
所以人们只需要走到外部安装的加密狗前,读取密码,然后就可以离开了?