HomeAssistant - Gefährdung durch Smartphone-App

blurrrr

blurrrr

Well-known member
Mahlzeit!

Derzeit gibt es wohl ein Problem bzgl. der Smartphone-Apps, wodurch sich mitunter eine HA-Installation übernehmen lässt. Es stehen bereits aktualisierte Apps zur Verfügung, also schnell updaten! Wer solche Dinge generell gern mal auf dem Schirm hat, kann auch unter https://github.com/home-assistant/core/security/advisories schauen. Den aktuell angesprochenen Fall hat heise.de auch nochmal für Normalsterbliche aufbereitet: https://www.heise.de/news/Home-Assi...chen-Uebernahme-durch-Angreifer-11313360.html.
 
Okay, es geht um einen Token-Leak aus der Companion App. Dafür braucht es aber auch ein Dashboard in meiner HA-Instanz, dass über einen iFrame ein "böswillige" Webseite einbindet, die es auf den Token abgesehen hat. Bzw. kann der Anbieter dieser Seite, ob nun böswillig oder nicht, wenn ich dieses Dashboard in der Companion App betrachte, den Token "mitlesen".

Zum Glück binde ich und würde ich nie eine Webseite über iFrame in ein Dashboad einbinden.
 
Hallo @blurrrr,
zuerst einmal vielen Dank für deine Aufmerksamkeit und die gegebenen Hinweise.
Ich möchte dabei noch etwas weiter ausholen.
Ja, auch ich betreibe auf einem RasPi eine kleine HA-Installation. Weniger, um meine gemietete Wohnung zu "automatisieren", sondern eher zur technischen Überwachung meiner USV (incl. des gesteuerten sauberen Herunterfahrens durchlaufender Geräte), meines schon recht großen WireGuard-Netzes (einschließlich automatisierter Messungen der Bandbreite, Anzeige ausgefallenere Knoten, sowie automatisierter Reaktionen bei Besonderheiten) usw.
Es ist also auch ohne Heizungssteuerung und dem Erfreuen an einer (nicht vorhandenen) PVA schon so einiges, was darauf läuft.

Aber, bei allem, was da bei mir in meinem IT-Zoo herumkraucht, ich überlege immer ganz genau, was ich wirklich benötige - und was dabei an evtl. Risiken möglich ist. Dabei verzichte ich auch gern auf etwas, was nicht unbedingt sein muss! Ich versuche also immer (!!) nicht unbedingt erforderliche Verbindungen nach außen ins böse Netz zu vermeiden. Und ich schaue mir auch live an, wer da von innen mit wem nach außen "telefonieren" will. Wir nannten das, die Abschätzung des vorhandenen Restrisikos.
Und genau das - wenn auch nicht unbedingt immer mit dem strengen und geschulten Blick eines ehemaligen IT-Sicherheitsfuzzies - kann ich jedem empfehlen.

MfG Peter
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
8.029
Beiträge
79.047
Mitglieder
8.742
Neuestes Mitglied
Stormarner

Teilen

Zurück
Oben