Home Assistant - Security Audits durch Cure53
Bei der Prüfung wurden keine Umgehungsmechanismen für die Authentifizierung gefunden. Es wurden jedoch Probleme behoben, die es Angreifern ermöglicht hätten, Benutzer zu täuschen und ihre Instanz zu übernehmen. Alle Korrekturen sind in Home Assistant 2023.9 (veröffentlicht am 6. September 2023) und den neuesten Home Assistant-Apps für iOS und Android enthalten. Bitte stellen Sie sicher, dass Sie auf dem neuesten Stand sind.
Cure53 hatte Probleme in Home Assistant gefunden, von denen drei als "kritisch" eingestuft wurden. Diese kritischen Probleme hätten es einem Angreifer ermöglicht, Benutzer zu täuschen und Login-Daten zu stehlen.
Die Qualität des Code-Bestands war im Allgemeinen beeindruckend, ebenso wie die Architektur und Frameworks, die in allen relevanten Anwendungsbereichen resilient sind. Insbesondere die Sicherheit des Front-Ends bot reichlich Möglichkeiten zur Verstärkung, wie durch die identifizierten kritischen Risiken verdeutlicht wurde. Dennoch wird nach deren Behebung mit Sicherheit eine vorbildliche Sicherheitslage erreicht werden können.
Im Vorfeld war es schon zu einer Prüfung des Github Security Labs gekommen und einige Punkte überlappten sich mit dem Ergebnis von Cure53. Somit konnte Home Assistant die aufgekommenen Probleme adressieren und seinen Nutzern somit zeigen, eines der sichersten Systeme am Markt zu sein.
Quelle: HA Blog
