Hoymiles: бесплатный патч 30 августа

Автор Даниэль Илиягуев13 июля 2026 г.2 мин чтенияВ категории: Технологии
solar inverter
Источник: ARTURO AÑEZ. / PEXELSИзображение для иллюстрации
Краткое изложение статьи, созданное с помощью ИИКак мы готовим материалы
Хотите полную картину? Читайте полный гид: Технологии

Подтверждённая уязвимость: CCC нашёл неаутентифицированные OTA‑обновления в микрон‑инверторах Hoymiles HM‑series

CCC подтвердил, что микрон‑инверторы Hoymiles серии HM позволяют выполнять OTA‑обновления без какой‑либо аутентификации, что даёт злоумышленнику возможность менять настройки или выключать устройство. Уязвимость затрагивает только снятую с производства линейку HM, производство которой завершилось в августе 2023. Подробности в публичном PDF‑отчёте CCC отчёт CCC.

Ответ Hoymiles: бесплатный патч с шифрованием AES‑128‑CBC будет выпущен 30 августа

Hoymiles объявил, что 30 августа 2024 выйдет бесплатное обновление прошивки, которое зашифрует OTA‑трафик с помощью AES‑128‑CBC. Патч будет проверен на соответствие стандарту EU RED EN 18031 перед распространением Ответ Hoymiles. Компания также уведомила Федеральное управление по безопасности информации (BSI) Германии Федеральное управление по безопасности информации (BSI).

Почему уязвимость важна: нарушение требований директивы RED ЕС

Уязвимость нарушает требования директивы Radio Equipment Directive (RED) ЕС, согласно которым любое устройство, подающее энергию в сеть, не должно принимать OTA‑обновления без аутентификации соответствие RED EN 18031. Без шифрования злоумышленник может удалённо отключить инвертор, изменить его выход или использовать его как точку входа в домашнюю сеть.

Контекст отрасли: похожие уязвимости уже появлялись

Подобные проблемы с безопасностью инверторов уже фиксировались ранее. Heise сообщил о «ночном кошмаре безопасности инверторов», когда скомпрометированные устройства вызывали отключения в целых районах ночной кошмар безопасности инверторов. Cybernews отметил, что аналогичный класс уязвимостей найден у других китайских производителей уязвимости у китайских производителей. Это подчёркивает растущее значение соответствия EN 18031 для всей подключённой фотогальванической техники.

Практическое влияние на домовладельцев и установщиков

  • Немедленная безопасность: существующие устройства HM продолжают работать, отключать или заменять оборудование не требуется.
  • Процесс обновления: прошивка будет доставлена через интернет и установлена автоматически; после 30 августа установщики должны проверить версию.
  • Снижение риска: пока патч не установлен, злоумышленник может отключить 10 kW систему на один день, что обойдётся примерно в ₪22 (≈ 46 kWh × ₪0.48/kWh) для израильского домовладельца.

Что это значит для Израиля

Для израильского рынка домашней солнечной энергии типичная 10 kWp система генерирует около 17 000 kWh в год, что при тарифе ₪0.48/kWh стоит ≈ ₪8 160 [Verified Israeli Solar Facts]. Если хакер использует уязвимость хотя бы один день, потеря составит около ₪22. Для коммерческих массивов (≈ 15 kW) ежедневный ущерб может достигать ≈ ₪30. Бесплатное AES‑шифрованное обновление защищает как стабильность сети, так и небольшие, но важные доходы владельцев солнечных систем.

Перспектива: новые стандарты и быстрые патчи станут нормой

Случай Hoymiles демонстрирует, как быстро уязвимость может распространиться по миллионам небольших фотоэлектрических установок и как регуляторы (BSI, EU RED) ускоряют обязательное шифрование. Аналитики ожидают, что требование EN 18031 станет базовым тестом для всех новых инверторов к 2025 году соответствие RED EN 18031. Для израильских установщиков это значит проверять сертификаты (TÜV Rheinland, Dekra) и советовать клиентам своевременно обновлять прошивки — простой шаг, который защищает и сеть, и кошелёк.


Итог: Hoymiles выпустит 30 августа бесплатный патч с AES‑128‑CBC, восстановит соответствие требованиям EU RED EN 18031 и защитит израильских владельцев солнечных систем от потенциальных потерь.

Sources & further reading

Частые вопросы

Какие инверторы Hoymiles затронуты уязвимостью?

Уязвимы только микрон‑инверторы серии HM, производство которых прекратилось в августе 2023; более новые модели не затронуты.

Когда будет доступно обновление прошивки?

Hoymiles запланировал выпуск патча на 30 августа 2024, и он будет предоставлен бесплатно.

Что делает новый патч?

Он добавляет шифрование AES‑128‑CBC к OTA‑обновлениям и проходит проверку по стандарту EU RED EN 18031.

Нужно ли отключать систему перед обновлением?

Нет, Hoymiles заявляет, что все устройства HM продолжают работать и могут обновляться удалённо.

Как хакер может воспользоваться уязвимостью?

Без аутентификации злоумышленник может отключить инвертор, изменить его выходные параметры или использовать его как точку доступа в домашнюю сеть.

Какой финансовый ущерб может понести израильский домовладелец?

Однодневное отключение типичной 10 kWp системы обойдётся примерно в ₪22 (≈ 46 kWh × ₪0.48/kWh).

Поделиться статьёй

Ещё в категории Технологии

6
Свяжитесь с нами

Есть вопрос или проект?

Напишите нам — о солнечной энергии, идее для статьи, рекламе или о чём угодно. Мы ответим.

Мы используем ваши данные только для ответа.