Zusammenfassung: Home Assistant hat kürzlich zwei bedeutende Sicherheitsprüfungen durchgeführt, um die Sicherheit der Plattform zu gewährleisten. Wir möchten sicherstellen, dass Sie immer geschützt sind. Keine Umgehungen der Authentifizierung wurden festgestellt, aber wir haben wichtige Probleme behoben, die es Angreifern ermöglichen könnten, Benutzer zu täuschen und Kontrolle zu übernehmen. Diese Fehler wurden in Home Assistant 2023.9 (veröffentlicht am 6. September 2023) sowie in den neuesten Home Assistant-Apps für iOS und Android behoben. Wir empfehlen dringend, sicherzustellen, dass Ihre Installation auf dem neuesten Stand ist.

Sicherheit hat bei Home Assistant und Nabu Casa höchste Priorität. Die Tatsache, dass wir Open Source sind, erlaubt es jedem, unseren Code zu prüfen, und wir freuen uns über gemeldete Probleme. Dennoch ist es wichtig, auch unabhängige Sicherheitsüberprüfungen durchzuführen, um sicherzustellen, dass alle kritischen Bereiche abgedeckt sind.

Die Unterstützung von Home Assistant Cloud trägt zur kontinuierlichen Entwicklung und Wartung von Home Assistant bei, einschließlich externer Sicherheitsüberprüfungen. Zur Gewährleistung höchster Sicherheit hat Nabu Casa Cure53 beauftragt, eine umfassende Sicherheitsüberprüfung wichtiger Teile von Home Assistant durchzuführen. Cure53 ist ein renommiertes Unternehmen im Bereich Cybersicherheit, das zuvor Sicherheitslücken in Produkten wie Mastodon und Ring gefunden hat.

Cure53 identifizierte einige Probleme in Home Assistant, darunter drei als „kritisch“ eingestufte Schwachstellen. Diese kritischen Probleme hätten es Angreifern ermöglichen können, Benutzer zu täuschen und Anmeldeinformationen zu stehlen. Alle gemeldeten Probleme wurden als Teil von Home Assistant 2023.9, das am 6. September 2023 veröffentlicht wurde, behoben. Es wurden keine Authentifizierungsumgehungsprobleme festgestellt. Gemäß dem Bericht von Cure53:

„Die Qualität des Codebasis war insgesamt beeindruckend, und die Architektur sowie die verwendeten Frameworks in allen relevanten Anwendungsbereichen zeigten im Allgemeinen widerstandsfähige Designparadigmen. Insbesondere die Sicherheit der Benutzeroberfläche bot ausreichend Möglichkeiten zur Verbesserung, wie durch die identifizierten kritischen Risiken verdeutlicht wurde. Nachdem diese behoben wurden, wird zweifellos eine beispielhafte Sicherheitsposition erreicht.“

Im August führte auch das GitHub Security Lab eine Überprüfung von Home Assistant durch. Dabei wurden sechs nicht-kritische Probleme in Home Assistant Core sowie unseren iOS- und Android-Apps identifiziert. Zwei dieser Probleme überschnitten sich mit den von Cure53 gefundenen. Alle gemeldeten Probleme wurden behoben und veröffentlicht.

Wir möchten beiden Teams für ihre Überprüfungen, gemeldeten Probleme und ihr Engagement für die Sicherheit unserer Benutzer danken 🙏.

Alle gefundenen Probleme wurden in unsere Sicherheitsseite aufgenommen, die nun eine laufende Zeitleiste der gemeldeten Probleme, Angaben zu den Meldenden und einen Link zum Problembericht auf GitHub enthält.

Falls Sie der Meinung sind, ein Sicherheitsproblem gefunden zu haben, finden Sie auf unserer Sicherheitsseite Informationen dazu, wie Sie dies an Home Assistant melden können.

Quelle: Original-Blog-Beitrag