.svg "logo (2)"){kind=small}
Zusammenfassung des Problems
Die Companion-Apps von Home Assistant weisen eine Sicherheitslücke auf, die Angreifern ermöglicht, Zugriffstoken abzugreifen und somit die Kontrolle über die Home-Assistant-Instanz zu übernehmen. Ein schnelles Update ist unerlässlich, um die Sicherheit der Systeme zu gewährleisten.Problem und Kontext
Die aktuelle Sicherheitsanfälligkeit in den Home Assistant Companion-Apps stellt ein erhebliches Risiko für Nutzer dar. Angreifer können durch die Schwachstelle, die als Cross-Origin IFrame Token-Exfiltration beschrieben wird, auf die Home-Assistant-Instanz zugreifen. Dies geschieht, indem sie beliebigen JavaScript-Code in der App ausführen, um Zugriffstoken abzugreifen, die für die Authentifizierung verwendet werden.
Hintergrund
Die Schwachstelle ist unter der CVE-Nummer CVE-2026-44698 dokumentiert und hat einen CVSS-Wert von 8.3, was auf ein hohes Risiko hinweist. Nutzer, die die betroffenen Apps unter Android oder iOS verwenden, sind besonders gefährdet, wenn sie Drittanbieter-Webseiten in ihren Dashboards eingebunden haben.
Zentrale Begriffe erklären
Ein wichtiges Konzept in diesem Kontext ist „Zugriffstoken“. Dabei handelt es sich um digitale Schlüssel, die es Nutzern ermöglichen, sich bei Webdiensten zu authentifizieren. Wenn ein Angreifer dieses Token erlangt, kann er sich als der Nutzer ausgeben und auf alle Funktionen der Home-Assistant-Instanz zugreifen.
Wichtige Dimensionen oder Prinzipien
Die Sicherheitslücke betrifft mehrere Kernaspekte:
- Cross-Origin IFrame Token-Exfiltration: Eine Technik, durch die Angreifer Zugriffstoken stehlen können.
- JavaScript-Bridge-Callback-Injection: Eine Methode, die es ermöglicht, JavaScript-Code innerhalb der App auszuführen.
- Die Rolle von Drittanbieter-Webseiten: Nutzer sollten darauf achten, keine unsicheren externen Links in ihren Dashboards zu verwenden.
Maßnahmen oder Lösungsansätze
Um die Sicherheitslücke zu schließen, haben die Entwickler aktualisierte Versionen der Companion-Apps veröffentlicht: Version 2026.4.4 für Android und 2026.4.1 für iOS. Nutzer, die die Updates nicht sofort installieren können, sollten alle externen Webseiten-Karten aus ihren Dashboards entfernen und die Einbindung von Drittanbieter-URLs vermeiden.
Rolle von Politik, Organisationen oder Institutionen
In diesem Textabschnitt sind keine spezifischen Maßnahmen oder Initiativen von staatlichen Stellen oder Organisationen erwähnt.
Beispiele (falls vorhanden)
Es werden keine Vergleiche mit anderen Ländern oder spezifische Beispiele genannt.
Abschluss
Die Sicherheitsanfälligkeit in den Home Assistant Companion-Apps ist ein ernstes Problem, das umgehende Maßnahmen erfordert. Die Aktualisierung der Apps ist entscheidend, um die Sicherheit der Nutzer zu gewährleisten und mögliche Schäden zu verhindern. Sind Sie vorbereitet, um Ihre Systeme zu schützen?
Schließen Sie sich "The Circle of Security Professionals" an, einem exklusiven Netzwerk von Errichtern, die sich auf Sicherheitstechnik spezialisiert haben. Gemeinsam können wir Lösungen erarbeiten und uns gegenseitig unterstützen. Besuchen Sie uns für weitere Informationen zu unseren Veranstaltungen oder erfahren Sie, wie Sie Teil von The Circle werden können.
Quelle: Heise