
Hoymiles: бесплатный патч 30 августа

Подтверждённая уязвимость: CCC нашёл неаутентифицированные OTA‑обновления в микрон‑инверторах Hoymiles HM‑series
CCC подтвердил, что микрон‑инверторы Hoymiles серии HM позволяют выполнять OTA‑обновления без какой‑либо аутентификации, что даёт злоумышленнику возможность менять настройки или выключать устройство. Уязвимость затрагивает только снятую с производства линейку HM, производство которой завершилось в августе 2023. Подробности в публичном PDF‑отчёте CCC отчёт CCC.
Ответ Hoymiles: бесплатный патч с шифрованием AES‑128‑CBC будет выпущен 30 августа
Hoymiles объявил, что 30 августа 2024 выйдет бесплатное обновление прошивки, которое зашифрует OTA‑трафик с помощью AES‑128‑CBC. Патч будет проверен на соответствие стандарту EU RED EN 18031 перед распространением Ответ Hoymiles. Компания также уведомила Федеральное управление по безопасности информации (BSI) Германии Федеральное управление по безопасности информации (BSI).
Почему уязвимость важна: нарушение требований директивы RED ЕС
Уязвимость нарушает требования директивы Radio Equipment Directive (RED) ЕС, согласно которым любое устройство, подающее энергию в сеть, не должно принимать OTA‑обновления без аутентификации соответствие RED EN 18031. Без шифрования злоумышленник может удалённо отключить инвертор, изменить его выход или использовать его как точку входа в домашнюю сеть.
Контекст отрасли: похожие уязвимости уже появлялись
Подобные проблемы с безопасностью инверторов уже фиксировались ранее. Heise сообщил о «ночном кошмаре безопасности инверторов», когда скомпрометированные устройства вызывали отключения в целых районах ночной кошмар безопасности инверторов. Cybernews отметил, что аналогичный класс уязвимостей найден у других китайских производителей уязвимости у китайских производителей. Это подчёркивает растущее значение соответствия EN 18031 для всей подключённой фотогальванической техники.
Практическое влияние на домовладельцев и установщиков
- Немедленная безопасность: существующие устройства HM продолжают работать, отключать или заменять оборудование не требуется.
- Процесс обновления: прошивка будет доставлена через интернет и установлена автоматически; после 30 августа установщики должны проверить версию.
- Снижение риска: пока патч не установлен, злоумышленник может отключить 10 kW систему на один день, что обойдётся примерно в ₪22 (≈ 46 kWh × ₪0.48/kWh) для израильского домовладельца.
Что это значит для Израиля
Для израильского рынка домашней солнечной энергии типичная 10 kWp система генерирует около 17 000 kWh в год, что при тарифе ₪0.48/kWh стоит ≈ ₪8 160 [Verified Israeli Solar Facts]. Если хакер использует уязвимость хотя бы один день, потеря составит около ₪22. Для коммерческих массивов (≈ 15 kW) ежедневный ущерб может достигать ≈ ₪30. Бесплатное AES‑шифрованное обновление защищает как стабильность сети, так и небольшие, но важные доходы владельцев солнечных систем.
Перспектива: новые стандарты и быстрые патчи станут нормой
Случай Hoymiles демонстрирует, как быстро уязвимость может распространиться по миллионам небольших фотоэлектрических установок и как регуляторы (BSI, EU RED) ускоряют обязательное шифрование. Аналитики ожидают, что требование EN 18031 станет базовым тестом для всех новых инверторов к 2025 году соответствие RED EN 18031. Для израильских установщиков это значит проверять сертификаты (TÜV Rheinland, Dekra) и советовать клиентам своевременно обновлять прошивки — простой шаг, который защищает и сеть, и кошелёк.
Итог: Hoymiles выпустит 30 августа бесплатный патч с AES‑128‑CBC, восстановит соответствие требованиям EU RED EN 18031 и защитит израильских владельцев солнечных систем от потенциальных потерь.
Sources & further reading
Частые вопросы
Какие инверторы Hoymiles затронуты уязвимостью?
Уязвимы только микрон‑инверторы серии HM, производство которых прекратилось в августе 2023; более новые модели не затронуты.
Когда будет доступно обновление прошивки?
Hoymiles запланировал выпуск патча на 30 августа 2024, и он будет предоставлен бесплатно.
Что делает новый патч?
Он добавляет шифрование AES‑128‑CBC к OTA‑обновлениям и проходит проверку по стандарту EU RED EN 18031.
Нужно ли отключать систему перед обновлением?
Нет, Hoymiles заявляет, что все устройства HM продолжают работать и могут обновляться удалённо.
Как хакер может воспользоваться уязвимостью?
Без аутентификации злоумышленник может отключить инвертор, изменить его выходные параметры или использовать его как точку доступа в домашнюю сеть.
Какой финансовый ущерб может понести израильский домовладелец?
Однодневное отключение типичной 10 kWp системы обойдётся примерно в ₪22 (≈ 46 kWh × ₪0.48/kWh).
Поделиться статьёй
Ещё в категории Технологии
6
Солнечная энергия и Nexio Max: 3.85 COP
Daikin Nexio Max — крышный тепловой насос 7,5‑10 т, COP 3.85, работает до –25 °C; в Израиле выгоден в паре с солнечными панелями 15 kW.

Геотермальный водород за $1,75/кг в Исландии
Пилот Syntholene в Исландии показывает, что геотермальный SOEC может производить водород за $1,75‑$2,10 /кг, около трети цены европейского зелёного водорода.

45 ГВт в новые солнечные панели от TCL
TCL Zhonghuan переводит 45 ГВт TOPCon в производство back‑contact к 2027 году, запуская 680 Вт модули с 25,2 % эффективностью, что может улучшить окупаемость израильских крышных систем.

Солнечная энергия меняет жизнь женщин в Африке
Солнечный свет улучшает безопасность, здоровье и доходы в африканских деревнях без электросети, а женщины‑предприниматели ускоряют рост.

Солнечная энергия: 240‑м «Глаз Сарумана» в Израиле
«Глаз Сарумана» – 240‑м солнечная тепловая башня в Ашалим, генерирующая чистую, управляемую электроэнергию и помогающая Израилю достичь цели 30 % возобновляемой энергии к 2030 году.

Практический солнечный лаборант для техников
Учебный центр Lancaster County построил восстанавливаемую 6,4 кВт автономную солнечную систему с батареей, обучая студентов сборке и обслуживанию – модель для израильских школ.