Vaillant-Heizungen (ecoPower) mit Sicherheits-Leck

Wie BHKW und heise.de heute berichtet gibt es wohl ein massives Sicherheitsleck in der Software von Vaillant ecoPower 1.0 . Dabei handelt es sich nicht um Wärmpepumpen, sondern um kleine Blockheizkraftwerke zur Heizung und Stromversorgung. Kritisch ist dabei, dass diese Anlagen mit einer Internetverbindung ausgestattet sind, die für Fernwartung und Optimierung gedacht ist. Die Heizungsanlagen verbinden sich dabei wohl zu einer DYNDNS Domain des Herstellers Vaillant und leider sind dabei die Zugangskontrollmechanismen nicht so implementiert wie sie es sein sollten um “ungewünschten” Besuch aus der Ferne abzuhalten. Über den Fernzugriff lassen sich kritische Funktionen der Anlage steuern.

Quellen: 

http://www.bhkw-infothek.de/nachrichten/18555/2013-04-15-kritische-sicherheitslucke-ermoglicht-fremdzugriff-auf-systemregler-des-vaillant-ecopower-1-0/

http://einhausbau.de/2013/04/sicherheit-anno-1679/

 

PS: Ganz ehrlich – mich wundert es nicht. Die Software meiner Vaillant Wärmepumpe ist auch nicht gerade ein Geniestreich. In diesem Blog gibt es genug Einträge dafür. Gott sei dank hat meine Wärmepumpe keinen Internetanschluss 🙂