HomeAssistant - Gefährdung durch Smartphone-App

[blurrrr]

Mahlzeit!

Derzeit gibt es wohl ein Problem bzgl. der Smartphone-Apps, wodurch sich mitunter eine HA-Installation übernehmen lässt. Es stehen bereits aktualisierte Apps zur Verfügung, also schnell updaten! Wer solche Dinge generell gern mal auf dem Schirm hat, kann auch unter https://github.com/home-assistant/core/security/advisories schauen. Den aktuell angesprochenen Fall hat heise.de auch nochmal für Normalsterbliche aufbereitet: https://www.heise.de/news/Home-Assi...chen-Uebernahme-durch-Angreifer-11313360.html.

 

[Barungar]

Okay, es geht um einen Token-Leak aus der Companion App. Dafür braucht es aber auch ein Dashboard in meiner HA-Instanz, dass über einen iFrame ein "böswillige" Webseite einbindet, die es auf den Token abgesehen hat. Bzw. kann der Anbieter dieser Seite, ob nun böswillig oder nicht, wenn ich dieses Dashboard in der Companion App betrachte, den Token "mitlesen".

Zum Glück binde ich und würde ich nie eine Webseite über iFrame in ein Dashboad einbinden.

 

[Der Eifelsachse]

Hallo @blurrrr,
zuerst einmal vielen Dank für deine Aufmerksamkeit und die gegebenen Hinweise.
Ich möchte dabei noch etwas weiter ausholen.
Ja, auch ich betreibe auf einem RasPi eine kleine HA-Installation. Weniger, um meine gemietete Wohnung zu "automatisieren", sondern eher zur technischen Überwachung meiner USV (incl. des gesteuerten sauberen Herunterfahrens durchlaufender Geräte), meines schon recht großen WireGuard-Netzes (einschließlich automatisierter Messungen der Bandbreite, Anzeige ausgefallenere Knoten, sowie automatisierter Reaktionen bei Besonderheiten) usw.
Es ist also auch ohne Heizungssteuerung und dem Erfreuen an einer (nicht vorhandenen) PVA schon so einiges, was darauf läuft.

Aber, bei allem, was da bei mir in meinem IT-Zoo herumkraucht, ich überlege immer ganz genau, was ich wirklich benötige - und was dabei an evtl. Risiken möglich ist. Dabei verzichte ich auch gern auf etwas, was nicht unbedingt sein muss! Ich versuche also immer (!!) nicht unbedingt erforderliche Verbindungen nach außen ins böse Netz zu vermeiden. Und ich schaue mir auch live an, wer da von innen mit wem nach außen "telefonieren" will. Wir nannten das, die Abschätzung des vorhandenen Restrisikos.
Und genau das - wenn auch nicht unbedingt immer mit dem strengen und geschulten Blick eines ehemaligen IT-Sicherheitsfuzzies - kann ich jedem empfehlen.

MfG Peter

 

[blurrrr]

Zum Glück binde ich und würde ich nie eine Webseite über iFrame in ein Dashboad einbinden.

Naja, gibt aber immer wieder Personen, die sowas machen. Weisst ja, was man machen "kann", das wird auch gemacht (selbst hier im Forum liefert "iframe" 2 Seiten Suchergebnisse).

ich überlege immer ganz genau, was ich wirklich benötige - und was dabei an evtl. Risiken möglich ist. Dabei verzichte ich auch gern auf etwas, was nicht unbedingt sein muss!

Jo, sowas sollte man eh immer ("Soviel wie nötig, so wenig wie möglich").

Und ich schaue mir auch live an, wer da von innen mit wem nach außen "telefonieren" will. Wir nannten das, die Abschätzung des vorhandenen Restrisikos.

Jut, für die meisten Privatleute eher völlig uninteressant, heute gibt es zudem auch Dinge wie SIEM/XDR/MDR/etc. (sowas gab es ja "damals" eher nicht). Falls Du aber ein jung gebliebenes Spielkind bist, könntest Du Dir ja mal wazuh schauen (Opensource, kostenlos)

Und ich schaue mir auch live an, wer da von innen mit wem nach außen "telefonieren" will.

Du sitzt also 24/7 vor irgendeinem Bildschirm und schaust Dir live Paketmitschnitte von all Deinen Geräten an? Also dafür wäre mir meine Zeit ja irgendwie zu schade War jetzt natürlich nur ein Scherz, aber in kleineren wie (sehr) großen Umgebungen ist da i.d.R. ein interner Proxy (Squid wäre da so ein bekannter Vertreter) das Zauberwort und der Proxy ist das einzigste Gerät welches überhaupt ins Internet darf und ebenso regelt, wer überhaupt wohin darf. Kriegt man heutzutage ja auch oftmals schon direkt als Firewall-Zugabe (hier mal als Beispiel für die OPNsense), in grösseren Umgebungen oftmals eher als eigenständige Instanz zu finden. Für das Heimnetzwerk wohl eher etwas für einen Raspi oder eine kleine VM (oder ggf. auf der eigenen Firewall)

 

[Der Eifelsachse]

Du sitzt also 24/7 vor irgendeinem Bildschirm und schaust Dir live Paketmitschnitte

Da kannst du ganz sicher sein, dass ich das nicht mache.
Aber es gibt Geräte mit darauf laufenden Algorithmen, wo man bestimmte Triggerpunkte setzen kann, welche dann wiederum eine Meldung auslösen. Auch hier wieder, so viel wie nötig ... . Das (dauerhafte!) Anklopfen der Scriptkiddies an die ssh-Ports meiner vielen weit entfernt stationierten Geräte vom Freifunk-Router bis zu meinen WireGuard-Knoten ist schon von der sauberen Konfiguration der einzelnen sshd zum Scheitern verurteilt. Und löst natürlich keinen Alarm aus. Bei anderen evtl. böswilligen Aktionen, welche ich im Gegensatz zum Otto-NormalUser bemerken kann, ist es etwas anders.
Gut, für mich ist das Thema hiermit durch.

 

[blurrrr]

Das (dauerhafte!) Anklopfen der Scriptkiddies an die ssh-Ports

Kannst Du Dir mal z.B. auch mal knockd anschauen

Aber nochmal zum "eigentlichen" Topic... Kann denn jemand etwas dazu sagen, ob man wirklich "explizit" etwas via iframe einbinden "muss", oder ob es schon reicht, wenn eine Integration etwas entsprechendes macht? Bei letzterem hat man ja i.d.R. auch keinen Einfluss, installiert, nutzt und weiss eigentlich auch garnicht, was im Hintergrund so ab läuft. Frage ich jetzt mal so als Nicht-HomeAssistant-Benutzer