Omvormers zonnepanelen slecht beveiligd

Gepubliceerd door Robot One op 6 juni 20206 juni 2020

Installateurs laten de deur wijd open voor hackers

Omvormers (ook wel inverters) voor zonnepanelen met een Wifi-module zijn vaak slecht beveiligd. Zeker als de installateur het standaard wachtwoord niet verandert. Met als gevolg dat de deur wagenwijd open staat voor hackers.

Je kunt zoiets verwachten van PV-cowboys die een graantje willen meepikken van de populariteit van zonne-energie, maar ook bedrijven die zich hierin hebben gespecialiseerd, zijn laks met de beveiliging van op het web aangesloten systemen. Door de grote vraag naar zonnepanelen staan installateurs namelijk onder tijdsdruk. Het aanpassen van de default gegevens in de omvormer schiet er nogal eens in.

Access point

Wat is er aan de hand? De Wifi-module van de omvormer heeft zelf een WiFi AP (access point) met een redelijk bereik. De netwerknaam (SSID) wordt gewoon uitgezonden. Bij de populaire omvormers van Growatt is dit netwerk bijvoorbeeld te herkennen aan de beginletters YUZ en dan vervolgens 7 andere tekens. Het default password van dit netwerk is: 12345678. Hierdoor kan iedereen buitenshuis met een laptopje of smartphone probleemloos op de omvormer inloggen.

Eenmaal op het WiFi-netwerk van de omvormer, kun je met je browser naar het IP-adres 192.168.10.100. Daar kom je op de lokale ‘M2M webserver’ van de Growatt, met de instellingenpagina’s van de omvormer. De default inlogcodes zijn ook voorspelbaar: admin/admin.

Buitengesloten

Als je nu nog met je eigen omvormer aan het spelen bent, kun je het beste de SSID, het AP wachtwoord en de inloggegevens veranderen, om te voorkomen dat iemand anders dat voor je doet. In dat geval zou het nog wel eens kunnen gebeuren dat je zelf wordt buitengesloten van je eigen systeem.

Wat de verdere kwetsbaarheden van de omvormer zijn, verschilt per omvormer en zal verder onderzoek moeten uitwijzen. De eerste stap is echter al gezet nu het binnendringen in een pas geïnstalleerd systeem kinderlijk eenvoudig blijkt.

Om helemaal te verkomen dat er iemand jouw systeem binnendringt, kun je natuurlijk gewoon de WiFi module uit de omvormer trekken. Het apparaat doet zijn werk ook wel zonder dat vreemden aan de andere kant van de wereld jouw installatie permanent in de gaten houden. Een eventuele API (programmeerinterface) om het verbruik in je smarthome te monitoren, werkt dan echter ook niet meer.

Wil je op een veilige manier exact meten wat je pv-systeem opbrengt (een ‘slimme’ meter geeft immers alleen het saldo van verbruik en opwek door), dan is het rechtstreeks uitlezen van de seriële (RS232) interface op de omvormer en deze naar je huisautomatiseringssysteem sturen mogelijk een betere optie is. Wordt vervolgd.

Zie ook:

• Zonnepanelen uitlezen in Domoticz
• Slimme meter draadloos uitlezen in Domoticz

€ 100 bonus bij Zelfstroom

Ga zelf stroom opwekken! Goed voor het milieu én voor je portemonnee. Laat Zelfstroom kosteloos een vrijblijvende berekening maken voor jouw huis en krijg een bonus € 100 als je je via onderstaande knop aanmeldt. Daarmee stimuleer je bovendien de verdere ontwikkeling van deze website!

Bekijk op Zelfstroom