תיקון חינם ל‑Hoymiles – עדכון OTA ב‑30 באוגוסט

מאת דניאל איליאגויב13 ביולי 20263 דקות קריאהבקטגוריה: טכנולוגיה
solar inverter
מקור: ARTURO AÑEZ. / PEXELSהתמונה להמחשה בלבד
תקציר הכתבה שנוצר באמצעות בינה מלאכותיתאיך אנחנו מדווחים
רוצים את התמונה המלאה? קראו את המדריך המלא: טכנולוגיה

פגיעת אבטחה מאומתת: CCC מגלה עדכוני OTA ללא אימות במיקרו‑אינברטר של Hoymiles

ה‑Chaos Computer Club (CCC) חשף שה‑micro‑inverters של סדרת HM של Hoymiles נגישים מרחוק בלי שום אימות. תוקף יכול לשנות הגדרות או לכבות את המכשיר. הפגיעה נוגעת רק לדגם HM שהופסק באוגוסט 2023, והפרטים נכתבו בדוח PDF של CCC דוח PDF של CCC.

תגובת Hoymiles: עדכון קושחה חינמי עם הצפנת AES‑128‑CBC ייצא ב‑30 אוגוסט

Hoymiles הפעילה צוות תגובה פנימי ברגע שנודעה הפגיעה והבטיחה לשחרר עדכון קושחה ב‑30 אוגוסט 2024 ללא עלות. העדכון מצפין את תעבורת OTA עם AES‑128‑CBC ועובר בדיקת תקן האבטחה EU RED EN 18031 לפני הפצה PV Magazine. החברה הודיעה גם לסוכנות הפדרלית לביטחון מידע של גרמניה (BSI) על התוכנית הסוכנות הפדרלית לביטחון מידע של גרמניה (BSI).

למה הפגיעה חשובה: עדכונים ללא אימות מפרים את תקן RED של האיחוד האירופי

ה‑CCC טוען שכל מכשיר שמזין רשת וקולט עדכוני קושחה באוויר ללא אימות אינו עומד בדרישות ה‑Radio Equipment Directive (RED). ללא הצפנה, תוקף יכול לכבות את האינברטר, לשנות את תפוקת החשמל, או אפילו להשתמש בו ככניסה לרשת הביתית.

הקשר בתעשייה: באגים דומים באינברטרים קודמים

הסיקור של תקריות אבטחה באינברטרים מראה שהמקרה הזה אינו בודד. Heise דיווח על "סיוט אבטחת אינברטר" שבו מכשירים פגומים גרמו להפסקות חשמל ברמה שכונתית Heise – סיפור הלילה של האינברטרים, ו‑Cybernews ציין שהקלאס פגיעות זה נמצא גם בייצור סיני אחר Cybernews – פגיעות באינברטרים סיניים. המגמה מדגישה את החשיבות של עמידה בתקן EN 18031 לכל ציוד פוטו‑וולטאי מחובר.

השפעה מעשית לבעלי בתים ולמתקינים

  • בטחון מיידי: יחידות HM קיימות ימשיכו לפעול, אין צורך לנתק או להחליף חומרה.
  • תהליך העדכון: הקושחה תורד דרך האינטרנט ותותקן אוטומטית; מתקינים צריכים לבדוק את גרסת הקושחה אחרי פריסת 30 אוגוסט.
  • הפחתת סיכון: לפני עדכון, תוקף יכול לכבות מערכת של 10 kW ליום שלם, מה שמוביל להפסד של כ‑₪22 (≈ 46 kWh × ₪0.48/kWh) עבור בעל בית ישראלי.

מה זה אומר לישראל

בישראל מערכת סולארית ביתית של 10 kWp מייצרת בממוצע 17 000 kWh לשנה, בערך ₪8 160 לפי תעריף ממוצע של ₪0.48/kWh [Verified Israeli Solar Facts]. אם תוקף ינצל את הפגיעה ליום אחד, ההפסד יהיה סביב ₪22 – סכום קטן למקרה בודד, אך אם ההתקפות יחזרו או יכוון למערכות מסחריות (≈ ₪30 הפסד יומי למערכת של 15 kW) ההשפעה תגדל. הקושחה המוצפנת עם AES‑128‑CBC מגנה על יציבות הרשת ועל הרווחיות של בעלי מערכות סולאריות בישראל. מומלץ לתזמן את העדכון ברגע שהוא זמין ולשקול מיקרו‑אינברטרים שכבר עומדים בתקן EN 18031.

מבט לעתיד: תקנים מחמירים ועדכונים מהירים הם הנורמה החדשה

מקרה Hoymiles מדגים כמה מהר פגיעה יכולה להתפשט במיליוני התקנות PV קטנות וכיצד רגולטורים (BSI, EU RED) דוחפים יצרנים להצפין את העדכונים. אנליסטים צופים שהדרישה לתקן EN 18031 תהפוך לבסיס לכל אינברטר חדש עד 2025 bsg.tech – דרישות RED EN 18031 2025. עבור מתקינים ישראלים, המשמעות היא לבדוק תוויות תקן (TÜV Rheinland, Dekra) ולייעץ ללקוחות לשמור על קושחה עדכנית – צעד פשוט שמגן על הרשת ועל הכיס.


סיכום עבור ישראל

בהתבסס על הנתונים הישראליים (תעריף ₪0.48/kWh, מערכת 10 kWp, ייצור 17 000 kWh/שנה), יום אחד של כיבוי אינברטר יפגע בכ‑₪22. אם יקרה כמה פעמים בשנה, ההפסד יכול להגיע למאות שקלים, ולפגוע בתשואה של כ‑₪8 160 לשנה. הקושחה של 30 אוגוסט, עם הצפנת AES‑128‑CBC, מסירה את הסיכון ומחזיקה את המקרה הכלכלי של סולאריות קורת גג במצב טוב, ותומכת במטרה של 30 % חשמל מתחדשת עד 2030.


Bottom line: Hoymiles תתקן את פגיעת OTA בסדרת HM ב‑30 אוגוסט עם עדכון קושחה חינמי ומוצפן, תעמוד בתקן האבטחה של האיחוד ותגן על בעלי מערכות סולאריות ישראליים מפגיעה כלכלית.

מקורות וקישורים נוספים

שאלות נפוצות

אילו אינברטרים של Hoymiles מושפעים מהפגיעה?

רק המיקרו‑אינברטרים מסדרת HM שהפסקת ייצור באוגוסט 2023 פגיעים; דגמים חדשים של Hoymiles אינם מושפעים.

מתי יהיה זמין תיקון הקושחה?

Hoymiles קבעה שהעדכון יושק ב‑30 אוגוסט 2024 ויהיה בחינם.

מה עושה הקושחה החדשה?

הקושחה מוסיפה הצפנת AES‑128‑CBC לעדכונים האלחוטיים ועוברת בדיקת תקן האבטחה EU RED EN 18031.

האם צריך לנתק את המערכת לפני העדכון?

לא, Hoymiles מציינת שכל יחידות HM ממשיכות לפעול וניתן לעדכן מרחוק.

איך תוקף יכול לנצל את הפגיעה?

בלי אימות, תוקף יכול לכבות את האינברטר, לשנות את ההגדרות שלו, או להשתמש בו ככניסה לרשת הביתית.

מה ההשפעה הכלכלית לבעל בית ישראלי אם האינברטר נפרץ?

כיבוי של מערכת של 10 kWp ליום אחד יגרום להפסד של כ‑₪22 בערך (≈ 46 kWh × ₪0.48/kWh).

שתפו את הכתבה

עוד בנושא טכנולוגיה

6
דברו איתנו

יש לכם שאלה או פרויקט?

שלחו לנו הודעה — על אנרגיה סולארית, טיפ לכתבה, פרסום או כל דבר אחר. נחזור אליכם.

נשתמש בפרטים שלכם רק כדי לחזור אליכם.