Datenschutz & Sicherheit
Home Assistant: Smartphone-Apps ermöglichen Übernahme durch Angreifer
Wer Home Assistant mit den Companion-Apps unter Android oder iOS steuert, sollte die verfügbare Aktualisierung schleunigst anwenden. Das Update für die Apps schließt eine Sicherheitslücke, durch die Angreifer ein Zugriffstoken abgreifen und damit die komplette Home-Assistant-Instanz übernehmen können.
Weiterlesen nach der Anzeige
Details liefert eine Sicherheitsmeldung im GitHub-Repository von Home Assistant, der CVE-Schwachstelleneintrag wurde nun am Wochenende öffentlich (CVE-2026-44698, CVSS 8.3, Risiko „hoch“). Die Schwachstelle beschreibt die Sicherheitsmeldung als Cross-Origin IFrame Token-Exfiltration mittels WebView-JavaScript-Bridge-Callback-Injection. Etwas weniger hakelig: Ein Iframe etwa von einer in Home Assistant eingebundenen externen App kann aufgrund der Schwachstelle beliebigen JavaScript-Code in der Companion-App innerhalb des Haupt-Frames ausführen und dabei den Zugriffstoken des angemeldeten Nutzers ausleiten. Angreifer können sich damit als dieser Nutzer ausgeben und die Kontrolle übernehmen, je nach Rolle des Users auch die komplette Instanz.
Als Angriffsszenario beschreiben die Entwickler, dass ein Opfer die Home-Assistant-Companion-App installiert hat und damit am Server angemeldet ist. Zudem hat das Opfer eine Webseite (Iframe)-Karte zu einem Dashboard hinzugefügt, die auf eine Drittanbieter-Webseite verweist, die Angreifer kontrollieren können – entweder direkt oder etwa nach einem Einbruch in einen solchen Dienst. Das Opfer öffnet das Dashboard, woraufhin der Zugriffstoken an die Angreifer übermittelt wird. Der wiederum nutzt dann den Token zum Zugriff auf die Home-Assistant-REST-API mit den Rechten des angemeldeten Users.
Aktualisierte Software fixt das Problem
Die Schwachstelle bessern die Home-Assistant-Companion-Apps in Version 2026.4.4 für Android und 2026.4.1 für iOS aus. Wer nicht umgehend auf die aktualisierten Apps umsteigen kann, soll jede Webseiten-Karte aus den Dashboards entfernen und einen Bogen um das Einbinden von Drittanbieter-URLs etwa für Wetter-Widgets, Status-Seiten oder externe Dashboards machen.
Wer Interesse an Smart-Home-Steuerung mittels Home-Assistant hat und einen Weg zum Einstieg sucht, findet hier eine ausführliche Home-Assistant-Einführung.
(dmk)