Entschlüsselung der Netzwerkverbindung in der mySolarEdge-Android-App (SYSS-2024-012)

21.03.2024 – Advisories – SYSS-2024-012

Ein Security Advisory von Senior IT Security Consultant Tobias Jäger

Die Android-App mySolarEdge, die zur Verwaltung und Überwachung von Photovoltaikanlagen eingesetzt wird, prüft das Serverzertifikat nicht richtig. Ein Angreifer mit Zugang zum gleichen Netzwerk kann somit den gesamten Netzwerkverkehr mitlesen und manipulieren. Das beinhaltet den aktuellen und vergangenen Stromverbrauch, die Adresse der Anlage und die Zugangsinformationen.

Das Team von SolarEdge hat sehr schnell reagiert, die Schwachstelle innerhalb weniger Tage behoben und ein Update bereitgestellt.

Zum Beheben der Schwachstelle sollte Version 2.20.1.2200102 oder neuer installiert werden.

The android App mySolarEdge provides monitoring and administration of photovoltaic systems. For the connection to the cloud back end, the server certificate is not properly verified. Therefore, an attacker in the same network can read and alter all network traffic between the app and the cloud. The network traffic includes the power consumption and production, the address of the photovoltaic system and the credentials to access the account.

The team of SolarEdge responded quickly and provided a fixed version within a few days.

To mitigate the issue, the fixed version 2.20.1.2200102 or later should be installed.

Detaillierte Informationen zu dieser Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about this security issue in our Security Advisory:

SYSS-2024-012 (CVE-2024-28756)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

SySS Newsletter abonnieren

Termine

06.05.2024 - 07.05.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen

13.05.2024
SySS bei der Kreissparkasse Heilbronn in Lauffen am Neckar

13.05.2024
Secu5: Planung und Durchführung von Penetrationstests

14.05.2024
SySS bei der Kreissparkasse Heilbronn in Weinsberg

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Trotz regelmäßiger Kontrolle verlinkter Webseiten können wir nicht für fremde Inhalte haften.