Home Assistant – Sicherheitsprobleme: Update einspielen erforderlich
Die Smart-Home-Plattform „Home Assistant“, welche möglicherweise auch einige Leser auf einem Raspberry Pi, in einem Docker-Container oder beispielsweise auf einem Intel NUC einsetzen, bekommt eine Aktualisierung. Seitens Home Assistant hält man die Nutzer dazu an, ein Update einzuspielen, da man mit „bestimmten, benutzerdefinierten Integrationen“ Sicherheitsprobleme habe.
Wir sind darauf aufmerksam geworden, dass bestimmte benutzerdefinierte Integrationen Sicherheitsprobleme haben und möglicherweise sensible Informationen preisgeben könnten. Home Assistant ist nicht für benutzerdefinierte Integrationen verantwortlich und Sie verwenden benutzerdefinierte Integrationen auf eigenes Risiko.
Die neueste Version von Home Assistant Core verfügt über zusätzlichen Schutz, um Ihre Instanz zu sichern.
Die neuste Version des Home Assistant Core, welche bereits zur Verfügung steht, soll für ausreichenden Schutz sorgen. Man solle jene Version „so schnell wie möglich“ einspielen. Hierzu gilt es im Menüpunkt „Supervisor“ zu prüfen, ob ein Update auf 2021.1.3 (oder neuer) zur Verfügung steht. Spätestens nach dem erneuten Laden durch die gleichnamige Schaltfläche „Neu laden“ sollte das Update bereit sein.
Sollte es für euch derzeit nicht möglich sein den Home Assistant zu aktualisieren, so rät man dazu die benutzerdefinierten Integrationen zu deaktivieren:
Sie können Ihre benutzerdefinierten Integrationen deaktivieren, indem Sie den Ordner custom_components in Ihrem Home Assistant-Konfigurationsordner in einen anderen Namen umbenennen. Bitte stellen Sie sicher, dass Sie Home Assistant neu starten, nachdem Sie ihn umbenannt haben.
Genauere, konkrete Informationen – auch dazu, welche „sensiblen Informationen“ möglicherweise preisgegeben wurden, hat man bis dato nicht parat. Man untersuche derzeit noch den „Umfang des Problems“ und werde weitere Details nachreichen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Danke für den Hinweis. Hab gleich mal das Update angestoßen…
Als Tipp: Immer die Blogs der Hersteller abonnieren. Dann verpasst solche News auch nicht mehr. Habe z.b. den Homeassistent Blog im TTRSS drin.
Ich nehme an wenn mein Raspberry keine Verbindung zur Außenwelt hat kann kann ja eigentlich nichts sen.
Trotzdem danke für den Tipp
Machst du die Updates dann per SD-Karte und ohne Internet und hast auch kein Zugriff auf dein Heimnetz? Das wäre ja tatsächlich ein bombensicheres System. Respekt!
Ich bin nach anfänglicher manueller Installation wieder zur Variante für Faule gewechselt und nutze hassio. Damit kann man zwar immer noch nicht von außen zugreifen, aber von innen natürlich rausfunken oder etwas nachladen. Theoretisch könnte da Tür und Tor offen sein, wenn der richtige Server kontaktiert wird.
Heimnetzverbindung über FRITZ!Box in Kombination mit der Homeassistant App funktioniert auf meinem Android Smartphone problemlos,
Bei einem Update wird die Internetsperre durch die Fritzbox geöffnet und nach dem Update wieder geschlossen.
Glaubst du, dass wie im Kinofilm ein Hack oder eine Rufnummernrückverfolgung immer 2 Minuten dauert oder wieso meinst du, dass diese Zeit nicht für das Ausnutzen einer Sicherheitslücke reichen würde?
Meiner Meinung nach wird das Problem unnötig aufgebauscht. Zumal bisher keiner (von den HA Lauten) sich dazu geäußert hat welche Integrationen „betroffen“ wären und auch nicht auf welche „sensiblen“ Informationen die Integrationen zugegriffen haben und was mit diesen Informationen passiert ist. Nur wenn man das weiß kann man sagen obs ein Sicherheitsproblem ist oder nicht bzw. wie schlimm.
Ich hoffe nur das die HA Jungs jetzt keinen Mist machen und z.B. die Unterstützung für die Custom Integrationen abschaffen, weil dann hätte sich HA für mich erledigt bzw. würde ich dann auf einer der jetzigen Versionen bleiben.
Warten wir mal ab, Infos sollen ja noch folgen
Es kann meiner Meinung nach ja nur etwas mit der ’secrets.yaml zu tun haben‘.
Vielleicht können die Addons ja die komplette Datei auslesen, statt nur nach dem für das Addon passenden Eintrag zu suchen.
Worauf stützt sich deine Meinung?
In der Datei können Zugangsdaten gespeichert werden.
Und die stehen da unverschlüsselt drin.
Das wäre doch ein simpler Ansatz, diese Daten abzugreifen?
Quatsch, das hat gar nichts mit der „secrets.yaml“ zu tun. Bitte, wenn schon eine Meinung dazu, dann verifiziert und nicht „mal so“. Insbesondere bei Sicherheitsbedenken ist es nicht hilfreich, wenn irgendwelche Behauptungen in den Raum gestellt werden!
Hier ist ein Post, übrigens aus einem Kommentar des besagten Security Bulletins, der anhand des Quellcodes zeigt, was geändert wurde.
https://community.home-assistant.io/t/security-bulletin/268456/12
Wie man sehen kann, sollen damit “ nur“ merkwürdige Anfragen geblockt werden. Also kein völlig offenes System, sondern „nur“ das eventuell mögliche abgreifen von sensorischen Daten. Eventuell möglich, nicht passiert schon! Die meist genutzten components sind auch schon geprüft und völlig ok.
Interessant wird es aber trotzdem ein paar Kommentare weiter unten, denn da geht es genau um das Thema Zugriffsdaten…
https://community.home-assistant.io/t/security-bulletin/268456/23
Zudem habe ich meine Meinung geäußert, da laut Artikel ja noch gar keine Fakten vorlagen.
Sollte also klar sein, dass es nur um Vermutungen gehen kann.
Ja, aber wie Frenck (übrigens fest angestellter Entwickler bei Home Assistant) schon sagt, diese Art von schutz ist schlicht konzeptionell nicht umsetzbar. Wie will man das denn machen? Zu einem Zeitpunkt X bedarf es des entschlüsselten Passworts, und an dieser Stelle kann eine schädliche App die Daten abgreifen. Daran wird man soweit auch kaum etwas ändern können. An die Datei an sich ist aktuell schon kein rankommen.
Die Frage, die mit dem von Dir verlinkten Kommentar beantwortet wird, ist aber eigentlich eine andere: da geht es darum, dass die „secrets.yaml“ versehentlich bei der Sicherung der Konfigurationsordner, z.B. bei Github, mit hochgeladen wird, und das auch noch unverschlüsselt. Das wiederum ist aber ein Problem, dass in HA nicht gelöst werden kann, das gehört in die entsprechende Anwendung zum Backup, entsprechend zu Github.