Wer Home Assistant mit den Companion-Apps unter Android oder iOS steuert, sollte die verfügbare Aktualisierung schleunigst anwenden. Das Update für die Apps schließt eine Sicherheitslücke, durch die Angreifer ein Zugriffstoken abgreifen und damit die komplette Home-Assistant-Instanz übernehmen können.

Details liefert eine Sicherheitsmeldung im GitHub-Repository von Home Assistant, der CVE-Schwachstelleneintrag wurde nun am Wochenende öffentlich (CVE-2026-44698, CVSS 8.3, Risiko „hoch“). Die Schwachstelle beschreibt die Sicherheitsmeldung als Cross-Origin IFrame Token-Exfiltration mittels WebView-JavaScript-Bridge-Callback-Injection. Etwas weniger hakelig: Ein Iframe etwa von einer in Home Assistant eingebundenen externen App kann aufgrund der Schwachstelle beliebigen JavaScript-Code in der Companion-App innerhalb des Haupt-Frames ausführen und dabei den Zugriffstoken des angemeldeten Nutzers ausleiten. Angreifer können sich damit als dieser Nutzer ausgeben und die Kontrolle übernehmen, je nach Rolle des Users auch die komplette Instanz.

Als Angriffsszenario beschreiben die Entwickler, dass ein Opfer die Home-Assistant-Companion-App installiert hat und damit am Server angemeldet ist. Zudem hat das Opfer eine Webseite (Iframe)-Karte zu einem Dashboard hinzugefügt, die auf eine Drittanbieter-Webseite verweist, die Angreifer kontrollieren können – entweder direkt oder etwa nach einem Einbruch in einen solchen Dienst. Das Opfer öffnet das Dashboard, woraufhin der Zugriffstoken an die Angreifer übermittelt wird. Der wiederum nutzt dann den Token zum Zugriff auf die Home-Assistant-REST-API mit den Rechten des angemeldeten Users.

Aktualisierte Software fixt das Problem

Die Schwachstelle bessern die Home-Assistant-Companion-Apps in Version 2026.4.4 für Android und 2026.4.1 für iOS aus. Wer nicht umgehend auf die aktualisierten Apps umsteigen kann, soll jede Webseiten-Karte aus den Dashboards entfernen und einen Bogen um das Einbinden von Drittanbieter-URLs etwa für Wetter-Widgets, Status-Seiten oder externe Dashboards machen.

Wer Interesse an Smart-Home-Steuerung mittels Home-Assistant hat und einen Weg zum Einstieg sucht, findet hier eine ausführliche Home-Assistant-Einführung.

(dmk)

Technologiekonzerne rechtfertigten den enormen Energiehunger ihrer neuen Rechenzentren oft mit dem Argument, Künstliche Intelligenz sei ein entscheidendes Werkzeug zur Bewältigung der Klimakrise. Eine Untersuchung mehrerer Nichtregierungsorganisationen, darunter AlgorithmWatch und Beyond Fossil Fuels, komme nun jedoch zu dem Schluss, dass diese Behauptungen auf einer schwachen Datenbasis beruhten. Die Autoren der Studie werfen der Branche vor, Umweltschäden durch irreführende Kommunikation zu verschleiern.

Unterscheidung zwischen herkömmlicher und generativer KI

Ein zentraler Kritikpunkt der Studie ist die fehlende Differenzierung beim Begriff der Künstlichen Intelligenz. Die Untersuchung zeigt, dass sich die von Unternehmen wie Google oder Microsoft propagierten positiven Klimaeffekte fast ausschließlich auf „herkömmliche“ KI-Anwendungen beziehen. Dazu zählen etwa Modelle zur Wettervorhersage.

Der aktuelle Boom und der damit verbundene massive Ausbau von Rechenzentren würden jedoch primär durch sogenannte „generative“ KI für Endverbraucher angetrieben – also Systeme wie ChatGPT, Copilot oder Gemini, die Texte, Bilder und Videos erzeugen. Für diese ressourcenintensiven Anwendungen konnten die Studienautoren kein Beispiel finden, das eine nachweisbare und substanzielle Reduktion von Treibhausgasemissionen belege.

Die Verknüpfung des Klimanutzens herkömmlicher KI mit dem Ausbau generativer Modelle bezeichnen die Autoren als eine neue Form des „Greenwashings“. Darunter versteht man die Strategie, sich durch irreführende, unklare oder unbelegte Behauptungen über angebliche Umweltvorteile ein klimafreundlicheres Image zu geben und so von den tatsächlich verursachten Umweltschäden abzulenken.

Dünne Beweislage für Klimaversprechen

Für die Analyse wurden 154 öffentlichkeitswirksame Behauptungen von Tech-Unternehmen und Institutionen über die positiven Klimaeffekte von KI ausgewertet. Das Ergebnis zeigt eine deutliche Diskrepanz zwischen Versprechen und wissenschaftlicher Evidenz: Lediglich 26 Prozent der untersuchten Aussagen stützten sich auf veröffentlichte wissenschaftliche Studien. Bei 36 Prozent der Behauptungen wurden überhaupt keine Belege angeführt, während ein Großteil des Rests lediglich auf eigene Unternehmenswebseiten oder -berichte verwies.

Die Autoren schlussfolgern, dass selbst bei herkömmlicher KI der angebliche Nutzen für das Klima oft stark übertrieben dargestellt wird, während die negativen Auswirkungen des KI-Wachstums klar messbar sind. Julian Bothe, Senior Policy Manager bei AlgorithmWatch, sagte, wenn es Nachhaltigkeitsvorteile durch Künstliche Intelligenz gebe, dann durch Anwendungen traditioneller KI mit wenig Ressourcenverbrauch. „Die großen sprach- und bildgenerierenden Modelle wie ChatGPT, um die es beim aktuellen KI-Hype vor allem geht, verbrauchen Unmengen an Strom und Wasser, verursachen CO₂-Emissionen in der Höhe ganzer Länder, bringen aber keinerlei positiven Nutzen für die Umwelt.“

(mho)

Um Netzwerke vor möglichen Attacken zu schützen, müssen Admins die IT-Sicherheitslösungen Spark Firewall und Security Gateways von Check Point auf den aktuellen Stand bringen.

Verschiedene Gefahren

Insgesamt haben die Entwickler vier Softwareschwachstellen geschlossen. Drei davon (CVE-2026-48131, CVE-2026-48132, CVE-2026-48133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. In zwei Fällen können Angreifer durch das Versenden von präparierten Datenpaketen VPN-Verbindungen terminieren. Weitere Informationen finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Wenn im Kontext der Browser-basierten Authentifizierung die Funktion Identity Awareness aktiv ist, können Angreifer ohne Authentifizierung interne Dateien von Security Gateway einsehen. Von den Sicherheitslücken sind konkret diese Check-Point-Produkte betroffen:

• Spark Firewall (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10
• Security Gateway R77.20 (EOS), R77.30 (EOS), R80.10 (EOS), R80.20 (EOS), R80.20.X (EOS), R80.30 (EOS), R80.40 (EOS), R81

Sicherheitsupdates

Bislang gibt es keine Hinweise auf Attacken. Admins sollten sicherstellen, dass mindestens eine der folgenden Versionen installiert ist:

• Spark Firewalls R81.10.17 – sk183153, R82.00.10 – sk184357
• Security Gateways Jumbo Hotfix Accumulator for R82.10 starting from Take 19, Jumbo Hotfix Accumulator for R82 starting from Take 103, Jumbo Hotfix Accumulator for R81.20 starting from Take 141

Warnmeldungen:

Derartige Lücken stellen eine reale Gefahr für das Netzwerk dar. Cyberkriminelle nutzen sie auch bei Checkpoint-Geräten öfter aus, um sich unbefugt Zugang zu den eigentlich geschützten Netzwerken verschaffen.

(des)