
תיקון חינם ל‑Hoymiles – עדכון OTA ב‑30 באוגוסט

פגיעת אבטחה מאומתת: CCC מגלה עדכוני OTA ללא אימות במיקרו‑אינברטר של Hoymiles
ה‑Chaos Computer Club (CCC) חשף שה‑micro‑inverters של סדרת HM של Hoymiles נגישים מרחוק בלי שום אימות. תוקף יכול לשנות הגדרות או לכבות את המכשיר. הפגיעה נוגעת רק לדגם HM שהופסק באוגוסט 2023, והפרטים נכתבו בדוח PDF של CCC דוח PDF של CCC.
תגובת Hoymiles: עדכון קושחה חינמי עם הצפנת AES‑128‑CBC ייצא ב‑30 אוגוסט
Hoymiles הפעילה צוות תגובה פנימי ברגע שנודעה הפגיעה והבטיחה לשחרר עדכון קושחה ב‑30 אוגוסט 2024 ללא עלות. העדכון מצפין את תעבורת OTA עם AES‑128‑CBC ועובר בדיקת תקן האבטחה EU RED EN 18031 לפני הפצה PV Magazine. החברה הודיעה גם לסוכנות הפדרלית לביטחון מידע של גרמניה (BSI) על התוכנית הסוכנות הפדרלית לביטחון מידע של גרמניה (BSI).
למה הפגיעה חשובה: עדכונים ללא אימות מפרים את תקן RED של האיחוד האירופי
ה‑CCC טוען שכל מכשיר שמזין רשת וקולט עדכוני קושחה באוויר ללא אימות אינו עומד בדרישות ה‑Radio Equipment Directive (RED). ללא הצפנה, תוקף יכול לכבות את האינברטר, לשנות את תפוקת החשמל, או אפילו להשתמש בו ככניסה לרשת הביתית.
הקשר בתעשייה: באגים דומים באינברטרים קודמים
הסיקור של תקריות אבטחה באינברטרים מראה שהמקרה הזה אינו בודד. Heise דיווח על "סיוט אבטחת אינברטר" שבו מכשירים פגומים גרמו להפסקות חשמל ברמה שכונתית Heise – סיפור הלילה של האינברטרים, ו‑Cybernews ציין שהקלאס פגיעות זה נמצא גם בייצור סיני אחר Cybernews – פגיעות באינברטרים סיניים. המגמה מדגישה את החשיבות של עמידה בתקן EN 18031 לכל ציוד פוטו‑וולטאי מחובר.
השפעה מעשית לבעלי בתים ולמתקינים
- בטחון מיידי: יחידות HM קיימות ימשיכו לפעול, אין צורך לנתק או להחליף חומרה.
- תהליך העדכון: הקושחה תורד דרך האינטרנט ותותקן אוטומטית; מתקינים צריכים לבדוק את גרסת הקושחה אחרי פריסת 30 אוגוסט.
- הפחתת סיכון: לפני עדכון, תוקף יכול לכבות מערכת של 10 kW ליום שלם, מה שמוביל להפסד של כ‑₪22 (≈ 46 kWh × ₪0.48/kWh) עבור בעל בית ישראלי.
מה זה אומר לישראל
בישראל מערכת סולארית ביתית של 10 kWp מייצרת בממוצע 17 000 kWh לשנה, בערך ₪8 160 לפי תעריף ממוצע של ₪0.48/kWh [Verified Israeli Solar Facts]. אם תוקף ינצל את הפגיעה ליום אחד, ההפסד יהיה סביב ₪22 – סכום קטן למקרה בודד, אך אם ההתקפות יחזרו או יכוון למערכות מסחריות (≈ ₪30 הפסד יומי למערכת של 15 kW) ההשפעה תגדל. הקושחה המוצפנת עם AES‑128‑CBC מגנה על יציבות הרשת ועל הרווחיות של בעלי מערכות סולאריות בישראל. מומלץ לתזמן את העדכון ברגע שהוא זמין ולשקול מיקרו‑אינברטרים שכבר עומדים בתקן EN 18031.
מבט לעתיד: תקנים מחמירים ועדכונים מהירים הם הנורמה החדשה
מקרה Hoymiles מדגים כמה מהר פגיעה יכולה להתפשט במיליוני התקנות PV קטנות וכיצד רגולטורים (BSI, EU RED) דוחפים יצרנים להצפין את העדכונים. אנליסטים צופים שהדרישה לתקן EN 18031 תהפוך לבסיס לכל אינברטר חדש עד 2025 bsg.tech – דרישות RED EN 18031 2025. עבור מתקינים ישראלים, המשמעות היא לבדוק תוויות תקן (TÜV Rheinland, Dekra) ולייעץ ללקוחות לשמור על קושחה עדכנית – צעד פשוט שמגן על הרשת ועל הכיס.
סיכום עבור ישראל
בהתבסס על הנתונים הישראליים (תעריף ₪0.48/kWh, מערכת 10 kWp, ייצור 17 000 kWh/שנה), יום אחד של כיבוי אינברטר יפגע בכ‑₪22. אם יקרה כמה פעמים בשנה, ההפסד יכול להגיע למאות שקלים, ולפגוע בתשואה של כ‑₪8 160 לשנה. הקושחה של 30 אוגוסט, עם הצפנת AES‑128‑CBC, מסירה את הסיכון ומחזיקה את המקרה הכלכלי של סולאריות קורת גג במצב טוב, ותומכת במטרה של 30 % חשמל מתחדשת עד 2030.
Bottom line: Hoymiles תתקן את פגיעת OTA בסדרת HM ב‑30 אוגוסט עם עדכון קושחה חינמי ומוצפן, תעמוד בתקן האבטחה של האיחוד ותגן על בעלי מערכות סולאריות ישראליים מפגיעה כלכלית.
מקורות וקישורים נוספים
- Public History of Solar Energy Cyberattacks and Vulnerabilities
- Hoymiles issues response after security vulnerability identified in...
- HMS-1000-2T not recognized following replacement by after-sales...
- Inverter security nightmare: Hoymiles silences neighborhoods
- Lee Felsenstein - The Osborne 1: Setting New Standards in Adequacy
שאלות נפוצות
אילו אינברטרים של Hoymiles מושפעים מהפגיעה?
רק המיקרו‑אינברטרים מסדרת HM שהפסקת ייצור באוגוסט 2023 פגיעים; דגמים חדשים של Hoymiles אינם מושפעים.
מתי יהיה זמין תיקון הקושחה?
Hoymiles קבעה שהעדכון יושק ב‑30 אוגוסט 2024 ויהיה בחינם.
מה עושה הקושחה החדשה?
הקושחה מוסיפה הצפנת AES‑128‑CBC לעדכונים האלחוטיים ועוברת בדיקת תקן האבטחה EU RED EN 18031.
האם צריך לנתק את המערכת לפני העדכון?
לא, Hoymiles מציינת שכל יחידות HM ממשיכות לפעול וניתן לעדכן מרחוק.
איך תוקף יכול לנצל את הפגיעה?
בלי אימות, תוקף יכול לכבות את האינברטר, לשנות את ההגדרות שלו, או להשתמש בו ככניסה לרשת הביתית.
מה ההשפעה הכלכלית לבעל בית ישראלי אם האינברטר נפרץ?
כיבוי של מערכת של 10 kWp ליום אחד יגרום להפסד של כ‑₪22 בערך (≈ 46 kWh × ₪0.48/kWh).
שתפו את הכתבה
עוד בנושא טכנולוגיה
6
נקסיו מקס של דאיקין: חיסכון חום עם סולאריות
נקסיו מקס של דאיקין – משאבת חום גג 7.5‑10 טון, COP של 3.85, פועלת עד –25 °C, ומשולבת עם פאנלים סולאריים ל‑15 kW לחיסכון משמעותי במבנים מסחריים בישראל.

הידרוגן גאותרמי באיסלנד: $1.75 לק"ג
הפיילוט האיסלנדי של Syntholene מראה שה‑SOEC המשולב עם חום גאותרמי יכול לייצר הידרוגן ב‑$1.75‑$2.10 לק"ג, כשליש מהמחיר באירופה.

המעבר של TCL ל‑Back‑Contact: 45 GW של פאנלים יעילים
TCL Zhonghuan תעביר 45 GW של קיבולת TOPCon ל‑Back‑Contact עד תחילת 2027, ותשיק מודול של 680 W עם יעילות של 25.2 % שיכול לשפר החזר השקעה במערכות סולאריות ישראליות.

אנרגיה סולארית שמעצימה נשים באפריקה
אור שמש משפר מיידית בטיחות, בריאות והכנסה בכפרים אפריקאיים ללא רשת, ונשים מובילות מרבות את ההשפעה.

מגדל אנרגיה סולארית 240 מ' – העין של סאורון
העין של סאורון היא מגדל שמש של 240 מ' בתחנת אשלים, שמספק חשמל נקי, ניתן להפעלה, ועוזר לישראל לעמוד ביעד 30 % מתחדשים עד 2030.

מעבדה סולארית חווייתית לסטודנטים
מעבדה סולארית של 6.4 kW בפנסילבניה מאפשרת לתלמידים להרכיב, לפרק ולבנות מחדש מערכת, ממומנת במענק והמתאימה להקמת מודלים דומים בישראל.