BMS, Zugangskontrolle über Bluetooth

Hallo,

ich vermute, dass wir schon vor ein paar Tagen zu dem Thema telefoniert haben, so dass ich momentan auch hier keine weiteren Infos geben kann als die, die ich dazu schon telefonisch gegeben habe. Die Meldung meinerseits erfolgt daher nur der Ordnung halber, weil ich der Anbieter bin.

Daher nur so viel:

Ob es geheime Backdoors und "Service-Passwörter" in BMS gibt weiß ich nicht. Ebenso kenne ich die Sicherheitslücken der BMS nicht. Meiner bisherigen Erfahrung nach gibt es keine absolute Sicherheit, außer man schaltet den öffentlichen Zugang über Funk ab, weil man eben nie wissen kann, was man alles noch nicht weiß. Aus diesem Grund schaufelt Microsoft ja auch in kurzen Abständen Sicherheitspatches auf ihr Windows. Sicherheitslücken bleiben trotzdem bestehen, deshalb kommt nächste Woche ja das nächste Sicherheitsupdate.

Nun sagen viele, dass sie natürlich wüssten, dass es keine absolute Sicherheit gäbe, aber sie würden eben trotzdem gern etwas mehr Sicherheit haben, als absolute Unsicherheit. An dieser Stelle bin ich bei öffentlich zugänglichen Serverdiensten aber stets sehr vorsichtig, denn meiner Erfahrung nach ist man immer dann der Blöde, wenn man sich auf Dritte und von diesen angepriesene angebliche Sicherheiten verlässt. Aus diesem Grund befinden sich meine Server z.B. auch nicht in einem Rechenzentrum oder in der Cloud, sondern an einem Ort, den ich selbst für ausreichend sicher halte und bei dem ich die regelmäßig erforderlichen Prüfungen auch selbst durchführen kann. Wenn doch mal was schief geht, weiß ich wenigstens, wers verbockt hat. Und es ist über die letzten 25 Jahre schon so einiges schief gegangen...

Was man bei Daly-BMS machen kann und bei gesteigertem Sicherheitsbedürfnis sicher auch tun sollte, ist Bluetooth komplett abzuschalten und den Ladezustands und die restlichen Parameter ganz pragmatisch über ein Display anzeigen zu lassen. Dann verliert man zwar etwas Komfort,es ist aber definitiv kein Zugang über Funk mehr möglich. Wie das bei anderen BMS ist kann auch aus dem Stehgreif aber auch nicht sagen. Bei Daly reicht es hierfür aus, einfach den BT/WiFi-Transceiver abzustöpseln.

Grüße, Tom

Zitat von bm2

Ja, wir hatten telefoniert. Daher habe ich nicht mehr alle Details abgefragt, sondern nur die noch offenen Fragen:

Bei dem Bigblock mit Wlan kam die Überlegung, ob man Bluetooth abschalten kann und nur noch über Netzwerk die Batterie abfragt. Das hatten wir am Telefon noch nicht geklärt. Das wäre für mich ein guter Work-Around. Wenn ich dich richtig verstehe bleibt aber nur das Entfernen des kombinierten BT/Wifi-Transceivers, wodurch dann aber beide Funkzugänge deaktiviert sind.

Da ich weder entsprechende Konfigurationseinträge in der Smartfon-App, noch in der alten wie auch neuen Windows-Software finde, muss man wohl davon ausgehen, dass eine selektive Aktivierung bzw. Deaktivierung von Bluetooth bzw. WiFi nicht möglich ist.

Zitat

Wie schon am Telefon gesagt spreche ich nicht über eventuelle Sicherheitslücken, sondern über offene und völlig ungesicherte BMS, wie es bei den meisten JBD der Fall ist. Natürlich können auch gesicherte Zugänge Sicherheitslücken haben, das Wissen darüber kann ausgenutzt werden, Sicherheitslücken werden je nach Anbieter geschlossen durch Updates etc. Das meine ich alles nicht. Es geht um BMS Zugänge, die ohne Passwort oder (mit allgemein bekannten) Standardpasswörtern die Änderung von Parametern oder auch Abschalten der FETs zulassen.

Die Lösungen für sicheres Pairing existieren. Password-Reset entweder per Hardware-Reset zurück auf eine Standard-Pin, oder das Zurücksetzen per PUK, die auf der Hardware notiert ist...

Dein Forum finde ich eine gute Idee, dadurch können noch weitere Leute profitieren, wenn man sich schon die Mühe gibt, Kundenfragen zu beantworten.

Wir drehen uns bzgl. der Passwörter argumentativ irgendwie im Kreis: Völlig offen ist das Daly-BMS nach setzen des Passwortschutzes ja nicht mehr, denn dann ist ja ein Passwortschutz aktiv. Soweit ich weiß, ist der nicht ohne physischen Zugriff auf das BMS zu überwinden.

Nur: Was weiß ich schon? Und woher will man wissen, ob und wenn ja wie viele Backdoors, Service-Passwörter, oder gar Exploits es gibt? Ich persönlich kenne im Gegensatz zu Dir noch nicht mal die "allgemein bekannten" Standardpasswörter. Von einem mehrstufigen PIN/PUK-System wie es z.B. bei SIM-Karten verwendet wird, weiß ich leider auch nichts.

Ich staune immer, was für Versuche bei meinem popeligen FTP-Server angestellt werden, nur um darauf Zugriff zu erlangen. Wenn man sich mal anschaut, was für wilde Zeichenketten und bei oberflächlicher Betrachtung komplett unsinnig erscheinende Befehlsfolgen dort verwendet werden, um sich Zugang zu verschaffen, dann ahnt man recht schnell, dass auch erfahrene Computerianer wie ich im Grunde keinen blassen Dunst von der Fülle der Möglichkeiten haben, über irgendwelche vergessenen oder übersehenen Löcher oder Hintertürchen ins Schlafzimmer zu stolpern.

Insofern kann der Rat nur lauten, sich darüber klar zu werden, dass es keine absolute Sicherheit gibt und man deshalb permanent mit unbefugten Eingriffen rechnen muss. Das bedingt, dass man solche System 1. in kurzen Zeitabständen kontrollieren muss und 2., dass man sie - nach Möglichkeit - von Datennetzen isoliert. Wo 2. nicht möglich ist, muss es durch verschärftes 1. ersetzt werden.

Grüße, Tom

Zitat von bm2

Bei Daly sollen angeblich die Standard-Passwörter immer gehen: "123456" oder "253456". Ich habe aber noch kein Daly hier zum probieren. Die schreibe ich unbedarft hier rein, weil die eh im Internet stehen und bei einer Google-Suche nach "Daly Standard Passwort" direkt gefunden werden.

Nein, kann ich nicht bestätigen.

Ich kann wie gesagt nicht ausschließen, dass es Zeichenketten gibt, welche ein gesetztes Passwort generell aushebeln, aber zumindest ist mir weder bekannt, dass es bei Daly solche gibt, noch wenn es sie denn gäbe, wie diese lauten.

Grüße, Tom

Servus bm2,

ich habe das Passwort geändert,

und komme ohne Passwort nicht auf das BMS.

Passwort der Auslieferung war 000000

Alles gut.

Das Passwort bleibt auf dem Endgerät (=Handy oder Tablet), mit dem das Passwort geändert wurde, gespeichert, und muss nicht wiederholt eingegeben werden. Mein anderes Endgerät verlangt nach dem neuen Passwort.

Es kann nur 1 Endgerät verbunden sein, mehrere gleichzeitig geht nicht.

Hardware:

4S 60Ah Winston LiFePo älteres Baujahr, mein Spielzeug, mit dem ich viel ausprobiere

Daly 4S 100A Nr. 2151

Software:

SmartBMSUtility Version 3.4.1 kostenpflichtig

Ob ich mit der original Daly Software noch draufkomme, habe ich nicht probiert.

Ich habe die Daly app gelöscht.

Ich kann mir gut vorstellen, dass es da ähnlich funktioniert.

Passwort ändern ist nie falsch, wenn man das gut verwahrt, also wieder irgendwo aufschreibt

just my 2 cents

Manfred

Servus bm2,

ich habe die Situatuon nun mit der original Daly Smart BMS V4.0.16 getestet.

Zuerst kam ich nicht mehr auf das Daly BMS, Zutritt wurde verweigert, Passwort falsch.

Ich musste das mit der SmartBMS Utility geänderte Passwort auch in die Daly app eingeben,

dann funktioniert es wieder.

Ergebnis:

das Passwort scheint unabhängig von der app im Daly BMS hinterlegt zu sein.

Passwort ändern, und gut dokumentieren, ist nie verkehrt.

Ob und wie ich ein verlorenes Passwort zurücksetzten kann, habe ich nicht getestet.

just my 2 cents

Manfred

Wie mir BM2 eben via eMail mitgeteilt hat, gibt es doch eine Möglichkeit, dass Passwort bei Daly-BMS und der Daly-App herauszufinden und ich muss zugeben, diese Möglichkeit ist so extrem popelig und erschreckend banal, dass das Angebot der App ein Passwort zur Zugangskontrolle zu setzen, die User gefährlich in nicht vorhandener Sicherheit wiegt.

Dieses Thema ist es mir wert, es oben an exponierter Stelle anzupinnen. Aber vorher werde ich dazu bei Daly eine Stellungnahme erbitten.

Grüße, Tom

Zitat von bm2

bei welchen BMS der Zugang sicher ist. Sicher unter dem Aspekt, dass es keine Backdoors oder Standardpasswörter gibt.

Servus bm2,

stimmt.

Denkbar ist, dass ein offenes mit Standardpasswort oder ausgelesenes BMS von einem Schurken durch ändern des Passwortes für den Besitzer unbrauchbar wird.

Diese Warnung gibt es auch für mein pedelec.

Da soll es schon vorgekommen sein, dass durch boshafte Änderung des Passwortes sich der Antrieb nicht mehr aktivieren lässt. Oder der Fahrradmechaniker im Zuge eines Services danach nicht ausgeloggt hat.

just my 2cents

Manfred

So, kurze Rückmeldung von Daly zu dem geschilderten Sachverhalt:

I double checked our engineer who told me it is not backdoor issue. It is used to help customer to find out the password, then can get into agin.

Such as some customer set up the password with complicated one, then forgot it, how to find it back, so need from error code information to help to find it back.

So kindly understand the designer the original thoughts. Thanks a lot.

Ich wies darauf hin, dass das u.U. richtig teuer für Daly und/oder die Händler werden kann und bat asap um Abhilfe. Allerdings glaube ich eher nicht, dass die jetzt zum großen Rückruf durchstarten.

Grüße, Tom

Nachdem Daly in einer weiteren eMail noch immer keinen Handlungsbedarf erkennen konnte, habe ich erneut interveniert und auf denkbare Schadensszenarien durch heimliche Zugriffe Unberechtiger auf BMS und Batterien hingewiesen, die für den Hersteller und letztlich auch dessen Händler durchaus teuer werden können. Ferner habe ich erkennen lassen, Daly aus dem Sortiment zu nehmen, sollte man die Passwort-Funktion weiterhin so belassen wie sie momentan ist. Heute kam nun folgende eMail, die zumindest auf baldige Besserung hoffen lässt:

Thanks for your feedback. I checked my our eggineer and pushed them to update it to get the customer's satisfaction who confirmed the next revision will update it. Our next revision will be updated on the finding back the password such as the customer to band the email or phone number. Then next revision will be updated in Jan 2025. So if you have new damaned on our Daly BMS, kindly let me know it.

Es besteht also durchaus noch Hoffnung. Vermutlich wird die BMS-Firmware entsprechend überarbeitet. Es bleibt zu hoffen, dass Daly dann auch endlich von seiner bisherigen Strategie abgeht, generell nur in Einzelfällen einzelne Firmware-Dateien herauszugeben, damit die Möglichkeit besteht, auch bereits lagernde BMS und BMS die bereits an Kunden ausgeliefert wurden, noch nachträglich entsprechend umzurüsten, damit dieses Sicherheitsloch geschlossen werden kann. Denn das sind ja eine ganze Menge.

Grüße, Tom

Bleibt nur zu hoffen dass es nicht (wieder) ein Update Desaster gibt.

Wirst Du aktiv die Kunden informieren oder wie ist diese doch größere Update Aktion geplant?

Meinerseits ist bisher überhaupt nichts geplant, weil ich noch nicht mal weiß, was Daly eigentlich genau machen wird. Ich vermute wie bereits erwähnt, dass es Anfang des Jahres neue Firmwares für die neu ausgelieferten BMS gibt, aber ich rechne nicht wirklich damit, dass Daly Updates für bereits an die Händler und Kunden ausgelieferte BMS veröffentlicht. Falls ich mich irre und es doch welche gibt, muss man halt schauen, wie man das am besten kommuniziert, denn das kann ein enormer Arbeitsaufwand sein, der von solchen Ein-Mann-Betrieben wie mir nicht in überschaubarer Zeit zu leisten ist. Immerhin handelt es sich um mehrere hundert BMS, die über die Jahre allein von mir in den Handel gebracht wurden. Schließlich kann nicht jeder die Firmware selbst aufspielen und selbst wenn doch, werden meiner Einschätzung nach eine Menge BMS wegen misslungener Updates ausfallen.

Übrigens habe ich (durch Zufall) festgestellt, dass die Bluetooth-Funktion samt der darin enthaltenen Sicherheitslücken sich einfach dadurch ausschalten lassen, indem man die WiFi-Funktion des WiFi/BT-Transceivers aktiviert. Dann steht Bluetooth nämlich nicht mehr zur Verfügung und der Zugriff erfolgt nur noch über die Daly-Cloud. Allerdings weiß ich nicht, ob, und wenn ja welche Sicherheitslücken sich dann von dort her auftun...

Grüße, Tom

Zumindest kann man bei einem Daly-BMS, dessen WiFi/BT-Tranceiverkennung in der Daly-Cloud eingelogt ist, mit einem zweiten Smartfon keine Bluetooth-Verbindung mehr herstellen.

Allerdings weiß ich nicht, was passiert, wenn die WiFi-Verbindung abbricht und in welchen Intervallen die Verbindung geprüft wird. Theoretisch wäre es immerhin möglich, die Funkverbindung durch gezielte Funkstörungen zu unterbrechen und dann bis zu einer - eventuellen - automatischen Reaktivierung der Bluetooth-Funktion durch das BMS zu warten, um dann erst anzugreifen.

In Ermangelung eines entsprechenden WLAN-Funklochs im Haus (6 x Mesh-Repeater...) konnte ich die Wirksamkeit dieses Angriffsszenarios aber noch nicht überprüfen. Aber wer Lust und Interesse hat kann es ja mal austüddeln.

Grüße, Tom

Edit: Nein, meine 12V/300Ah Batteriebausätze mit Gehäuse Artikel-Nr. 2391 kommen schon mit den JK-BMS und sich auch von der Hardware aus (wegen des Displays) darauf festgelegt). Natürlich könnte man auch ein Daly-BMS einbauen, nur müsste man das extra dazukaufen und kann dann das Display im Deckel nicht mehr nutzen.