Wer Home Assistant mit den Companion-Apps unter Android oder iOS steuert, sollte die verfügbare Aktualisierung schleunigst anwenden. Das Update für die Apps schließt eine Sicherheitslücke, durch die Angreifer ein Zugriffstoken abgreifen und damit die komplette Home-Assistant-Instanz übernehmen können.

Details liefert eine Sicherheitsmeldung im GitHub-Repository von Home Assistant, der CVE-Schwachstelleneintrag wurde nun am Wochenende öffentlich (CVE-2026-44698, CVSS 8.3, Risiko „hoch“). Die Schwachstelle beschreibt die Sicherheitsmeldung als Cross-Origin IFrame Token-Exfiltration mittels WebView-JavaScript-Bridge-Callback-Injection. Etwas weniger hakelig: Ein Iframe etwa von einer in Home Assistant eingebundenen externen App kann aufgrund der Schwachstelle beliebigen JavaScript-Code in der Companion-App innerhalb des Haupt-Frames ausführen und dabei den Zugriffstoken des angemeldeten Nutzers ausleiten. Angreifer können sich damit als dieser Nutzer ausgeben und die Kontrolle übernehmen, je nach Rolle des Users auch die komplette Instanz.

Als Angriffsszenario beschreiben die Entwickler, dass ein Opfer die Home-Assistant-Companion-App installiert hat und damit am Server angemeldet ist. Zudem hat das Opfer eine Webseite (Iframe)-Karte zu einem Dashboard hinzugefügt, die auf eine Drittanbieter-Webseite verweist, die Angreifer kontrollieren können – entweder direkt oder etwa nach einem Einbruch in einen solchen Dienst. Das Opfer öffnet das Dashboard, woraufhin der Zugriffstoken an die Angreifer übermittelt wird. Der wiederum nutzt dann den Token zum Zugriff auf die Home-Assistant-REST-API mit den Rechten des angemeldeten Users.

Aktualisierte Software fixt das Problem

Die Schwachstelle bessern die Home-Assistant-Companion-Apps in Version 2026.4.4 für Android und 2026.4.1 für iOS aus. Wer nicht umgehend auf die aktualisierten Apps umsteigen kann, soll jede Webseiten-Karte aus den Dashboards entfernen und einen Bogen um das Einbinden von Drittanbieter-URLs etwa für Wetter-Widgets, Status-Seiten oder externe Dashboards machen.

Wer Interesse an Smart-Home-Steuerung mittels Home-Assistant hat und einen Weg zum Einstieg sucht, findet hier eine ausführliche Home-Assistant-Einführung.

(dmk)

Um Netzwerke vor möglichen Attacken zu schützen, müssen Admins die IT-Sicherheitslösungen Spark Firewall und Security Gateways von Check Point auf den aktuellen Stand bringen.

Verschiedene Gefahren

Insgesamt haben die Entwickler vier Softwareschwachstellen geschlossen. Drei davon (CVE-2026-48131, CVE-2026-48132, CVE-2026-48133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. In zwei Fällen können Angreifer durch das Versenden von präparierten Datenpaketen VPN-Verbindungen terminieren. Weitere Informationen finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Wenn im Kontext der Browser-basierten Authentifizierung die Funktion Identity Awareness aktiv ist, können Angreifer ohne Authentifizierung interne Dateien von Security Gateway einsehen. Von den Sicherheitslücken sind konkret diese Check-Point-Produkte betroffen:

• Spark Firewall (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10
• Security Gateway R77.20 (EOS), R77.30 (EOS), R80.10 (EOS), R80.20 (EOS), R80.20.X (EOS), R80.30 (EOS), R80.40 (EOS), R81

Sicherheitsupdates

Bislang gibt es keine Hinweise auf Attacken. Admins sollten sicherstellen, dass mindestens eine der folgenden Versionen installiert ist:

• Spark Firewalls R81.10.17 – sk183153, R82.00.10 – sk184357
• Security Gateways Jumbo Hotfix Accumulator for R82.10 starting from Take 19, Jumbo Hotfix Accumulator for R82 starting from Take 103, Jumbo Hotfix Accumulator for R81.20 starting from Take 141

Warnmeldungen:

Derartige Lücken stellen eine reale Gefahr für das Netzwerk dar. Cyberkriminelle nutzen sie auch bei Checkpoint-Geräten öfter aus, um sich unbefugt Zugang zu den eigentlich geschützten Netzwerken verschaffen.

(des)

Ende vergangener Woche ist der niederländischen Polizei zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) des Landes ein Schlag gegen ein großes Botnet gelungen. 200 Server und 17 Millionen infizierte Geräte umfasste das für kriminelle Zwecke genutzte Botnet.

Das teilt das NCSC auf seiner Webseite mit. Demnach hat ein IT-Sicherheitsforscher entscheidende Hinweise gegeben, die Untersuchungen durch die Polizei-Einheit Den Haag und das NCSC ausgelöst haben. Diese ergaben, dass das Botnet mindestens aus 17 Millionen infizierten Geräten bestand, die mit einer Infrastruktur aus 200 Servern kontrolliert wurden, die in den Niederlanden standen. Zu den Drohnen gehören Geräte wie Computer, Tablets und Smartphones, aber etwa auch Smart-Home-Geräte und Router.

Drohnen bezeichnen infizierte Geräte, die auf Geheiß der Verwaltungsserver (Command-and-Control-Server) agieren und etwa DDoS-Angriffe starten oder im Falle von „Residential Proxy Services“ den Traffic der Kriminellen umleiten und so anonymisieren.

Mehrere Server hat die Polizei bei einem Hosting-Anbieter beschlagnahmt und weiter untersucht. Das Botnet wurde daraufhin von dem Hosting-Anbieter offline genommen, nachdem klar war, dass es für kriminelle Zwecke genutzt wurde.

Botnet als „Residential Proxy Service“

Das NCSC geht nicht weiter in die Details, die NLTimes berichtet jedoch davon, dass es sich um das Botnet „Asocks“ handelte. Das dient vorrangig als Verschleierungsdienst, als „Residential Proxy Service“. Unzureichend geschützte Endgeräte von Verbrauchern infizieren die kriminellen Drahtzieher hinter dem Botnet mit dem Schadcode, der die Geräte dann innerhalb dieses „Asocks“-Proxy-Netzes zu Knotenpunkten macht. Damit können Nutzer des Dienstes ihre tatsächliche Herkunft verschleiern.

Das „Asocks“-Botnet sei genutzt worden, um darüber Internet-Traffic zu routen und groß angelegte Cyberangriffe zu starten. Die Besitzer der infizierten Geräte wissen von alldem für gewöhnlich nichts. Das NCSC gibt daher noch Tipps für Endverbraucher: Betriebssysteme, Router und Apps sollten stets auf dem aktuellen Stand gehalten werden. Außerdem sollten sie einen Überblick über ihre Geräte im Netzwerk behalten. Passwörter sollten nicht wieder benutzt, sondern individuell sein; die Standard-Passwörter der Geräte sollten Nutzer zudem ändern. Software und Apps sollten zudem aus vertrauenswürdigen Quellen stammen.

Den Strafverfolgungsbehörden gelingen immer wieder Schläge gegen derartige kriminelle Botnetze. Mitte März wurde etwa das Proxy-Botnet „SocksEscort“ mit mehr als 369.000 Drohnen von internationalen Strafverfolgern abgeschaltet.

(dmk)