Hoymiles WR verraten per Funk ihre Seriennummer (Ihren Schlüssel für Funkfernsteuerung ) - Sicherheitslücke

Erfahrene Leser von ccc.de ahnen nun bereits, wo die Geschichte hingeht: Als Teil des Antwort-Pakets auf einen solchen Rundruf bläst ein jeder Wechselrichter seine Seriennummer unverschlüsselt und voller Solarkraft in die Umgebung.

Bei experimentellem War-Walking durch Nachbarschaften wurden so Dutzende verwundbare Kraftwerke identifiziert. Die Angriffshardware lässt sich trivial auf eine Drohne schrauben – sofern ihre Hardware nicht eh schon von Haus aus die Protokolle unterstützt.

06.07.2026
(CCC | Blinkenlights mit Balkonsolar

Der CCC ruft die Entwickler der OpenDTU-Community und andere Sicherheitsforscher dazu auf, gemeinsam an einer nachhaltigen Lösung zu arbeiten: Ziel ist hier zum Beispiel ein Open-Source-Patch oder eine alternative Firmware für die RF-Module, die Kryptographie (etwa AES) anstelle von unverschlüsselten Seriennummern nutzt

Da Hoymiles proprietäre Protokolle nutzt, ist dies auch ein Reverse-Engineering-Projekt. Wir unterstützen die Veröffentlichung der notwendigen Spezifikationen, um eine sichere Steuerung ohne „China-Cloud“ zu ermöglichen. Auf jeden Fall müssen alle Firmware-Updates von Hoymiles kritisch untersucht werden, damit die Firma nicht die Gelegenheit missbraucht, um Open-Source-Projekte wie OpenDTU gleich mit auszusperren.

2 „Gefällt mir“

Wenn ich das richtig lese, betrifft diese Vulnerabilität die Hoymiles-Mikrowechselrichter, die über die "Hoymiles DTU" kommunizieren. Versionen mit eingebautem WLAN scheinen diesen Angriffspunkt nicht zu haben. Insofern erst mal Entwarnung für meinen Hoymiles HMS-800W-2T.

ich war zu langsam, habe in meinen Beitrag hier hin verwiesen.
hatte es bei Heise gelesen Schwachstellen im DTU Funkprotokoll

1 „Gefällt mir“

Editiert.

Ja, dann sollten die W-LAN Modelle davon wohl nicht betroffen sein.

Der Heise Artikel im Thema von Stefan sagt betroffen sind

(..) HM- sowie der HMS- und HMT-Serien (..)

(Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen | heise online

Alte Sicherheitslücke beim W Modell:

Die HMS-800W-2T sind die mit beinah Cloud-Pflicht?
Da gab es andere Schwachstellen.(Wlan Passwort?)

Nachtrag:

Man mußte Zugang zum Wechselrichterstecker der 230V Steckdose haben, um ihn mehrfach ein und aus zu stecken. Sollte bei neueren Modellen behoben sein?

12.05.2025

Davon wüsste ich jetzt nichts. Ich lasse meinen komplett ohne Internetzugang laufen. Der WR selbst macht halt einen WLAN-Hotspot mit Namen DTUBIxxxxxx auf, sobald er DC von den Modulen sieht. Mit selbigem kann man sich dann verbinden, wenn man das Initialpasswort auf dem Wechselrichter notiert hat, und dann Leistungsdaten per Handy-App anschauen oder Einstellungen vornehmen. Ans Internet lasse ich meinen generell nicht. Ich verwende auch immer nur ein dediziertes Alt-Handy ohne SIM-Karte und Internetzugang, wenn ich mich mit dem WR verbinde.

1 „Gefällt mir“

Artikel im Spiegel. Sicherheits-Update für Oktober angekündigt?!?

Das ist doch schon mal eine gute Nachricht. Habe mehrere der Hoymiles HM im Einsatz.

Vermute, dass man eine Hoymiles DTU braucht, um das Update einzuspielen. Mal schauen, ob es die noch gibt.

Ich dachte, man braucht den 868MHz Adapter für die HM Serie? Läuft des auch auf 2400MHz?

Bei mir ist die Sendeleistung auf 0,xxmW eingestellt, wird des mit dem discovery ausgehebelt?

Die ad-hoc-Lösung wäre ein 868MHz & 2,4 GHz-Jammer, den man direkt neben die Antenne des Hoymiles setzt. Wenn der genug Störsignal raushaut, kommt der Angreifer, der mit dem Auto durch die Straße fährt oder der Drohne über die Dächer fliegt, mit seiner Attacke nicht mehr durch :slight_smile:

Hier gibt's zwei Paper von einem Hacker des CCC mit genaueren Details. Sind auch schön in TeX geschrieben :slight_smile: Ach ja, wenn man nur die Zeit hätte, das alles zu lesen...

Hoymiles_Paper1.pdf (235,1 KB)

Hoymiles_Paper2.pdf (211,6 KB)

Dort steht jedenfalls, dass die HM-Serie für die DTU eine Frequenz von 2,4 GHZ nutzt, wohingegen HMS und HMT bei 868MHz laufen.

1 „Gefällt mir“

Damit ist die Katze aus dem Sack. Die PDFs sind so detailliert, dass es ein einfaches ist das umzusetzen.

Übel. Hatte gehofft, dass der Autor mit dem POC (proof of concept) wartet, bis Hoymiles Updates der Firmware anbietet. Finde ich persönlich nicht sehr verantwortungsbewusst.

Zu befürchten, dass die ersten in Kürze durch die Straßen fahren und Seriennummern sammeln…..

Klar ist nicht toll, dass Hoymiles nicht schneller reagiert hat. Das der Autor aber jetzt die Box der Pandora geöffnet hat, ist für die Besitzer der Modelle nicht gerade toll.

Naja ist ja keine Magie wenn das bekannt ist und wenn man die Timeline anschaut sieht man nicht viel Reaktionen von Hoymiles:
2026-02-08 Initial discovery of HM series vulnerability
2026-02-13 HMS-600 also found to be vulnerable
2026-02-24 Unsuccessful attempt to call Hoymiles Germany by phone
2025-02-25
Callback from Hoymiles. However, attempts to explain the issue
in EN and DE were unsuccessful
2026-02-25 Requested contact at hoymiles via e-mail and linkedin (VP and CEO)
2026-03-12 Notification of Hoymiles, CERT-Bund and BNetzA

4,5 Monate nach Erstkontakt .. irgendwann muss man nicht mehr warten

1 „Gefällt mir“

Oh man wird da heiße Luft produziert.

Ja man kann mit dem Auto oder der Drohne durch die Gegend fahren/ fliegen und dann mit grossen Antennen die WR ausschalten.

Damit erreicht man genau was? Dem kleinen Mann sein Balkonkraftwerk abschalten?

Wenn du das Stromnetz wirklich sabotieren willst steckt man in Berlin ne Kabelbrücke in Brand. Oder sägt nen Strommast um.

Richtig kritisch sind die WR in großen Anlagen die aus Gründen der Überwachung am Internet hängen und wo die Sorge besteht das diese zur Sabotage zentral abgeschaltet werden können. Das sind aber keine Hoymiles MicroWR

Nicht jeder Sau die durch Dorf getrieben wird muss man hinterher laufen

2 „Gefällt mir“

Könnte mir schon vorstellen, daß es da einige Feinde der EE geben könnte, die BKW Benutzer damit ärgern wollen. Für das Stromnetz ist das natürlich irrelevant.

Ich habe ein paar openDtus gebaut und mich mit den Reichweitenproblemen rumgeschlagen.

Mir fetten Antennen und Sendern kann man das umgehen. Das ist aber dann keine $20 bastellösung mehr

Insofern auch nix was ein EE gegner mal eben so macht. Im übrigen haben die meist nix gegen Solar sondern was gegen Windkraft

ich glaube die meisten haben einfach etwas für "dagegen"
So wie es Gruppen gibt die generell gegen Wärmepumpen sind "als Grünversiffte Kacke" aber sich jetzt beschweren, dass Deutschland die Split Klimas verschlafen hat. (die ja auch Wärempumpen sind).

Die Frage ist: was kann man mit der Seriennummer anstellen?
Bekommt man damit Zugriff auf die Cloud-Steuerung (solche Schwachstellen gab es in der Vergangenheit)

Ein Angriff auf Cloud Infrastrukturen (solarman etc.) wo man settings auf Cloud Connected devices schieben kann wäre deutlich fataler.

Im 200m Umfeld Hoymiles BKWs auszuschalten ist vermutlich nicht kritisch.

Und die 200m sind noch hoch gegriffen.
Bei den DTU´s (Schraubantenne) mit direkter Sichtverbindung nach wenigen Metern schon Probleme. Da muss die DTU schon direkt am Fenster stehen damit das überhaupt klappt.

Von der Straße alle WR´s zu erwischen dürfte unmöglich sein. Schadenspotential geht gegen Null, wer Schaden anrichten will nimmt wie die Linksextremen in Berlin, Reutlingen oder Regensburg einen Brandsatz der an eine wichtige Kabelbrücke, Strommasten oder gleich das Umspannwerk für längere Zeit außer Betrieb nimmt.

Einzigste was hier passieren kann, ist dass sich ein paar BKW-Besitzer neue Wechselrichter kaufen, weil die denken dass der bisherige defekt ist.

1 „Gefällt mir“

Hab noch keine Details gelesen. Hat das was mit der DTU zu tun oder mit dem WR selbst? Also wenn man keine DTU laufen hat, kann der WR nicht von Fremden ausgelesen werden?

Der WR "spricht DTU", ob Du das benutzt ist egal..
Beim WR mit WLAN ist der Angriffsvektor vermutlich nicht vorhanden

1 „Gefällt mir“

Hallo in die Runde,
nach meiner Erfahrung verbindet sich der HM stets nur mit einer Dtu. Habe eine "orginale" und eine OpenDtu. Mein HM verbindet sich mit dem Start mit lediglich einer Dtu, die 2te sucht und findet er nicht. Der beste Schutz ist daher m.A. eine kontinuierliche Verbindung mit der OpenDtu, denn dann kann scheinbar keine weitere Dtu auf den WR zugreifen. Das scheint jedenfalls für die 865 MHz Variante zuzutreffen.

L.G.

1 „Gefällt mir“