Home Assistant – Sicherheitsprobleme: Update einspielen erforderlich

Die Smart-Home-Plattform „Home Assistant“, welche möglicherweise auch einige Leser auf einem Raspberry Pi, in einem Docker-Container oder beispielsweise auf einem Intel NUC einsetzen, bekommt eine Aktualisierung. Seitens Home Assistant hält man die Nutzer dazu an, ein Update einzuspielen, da man mit „bestimmten, benutzerdefinierten Integrationen“ Sicherheitsprobleme habe.

Wir sind darauf aufmerksam geworden, dass bestimmte benutzerdefinierte Integrationen Sicherheitsprobleme haben und möglicherweise sensible Informationen preisgeben könnten. Home Assistant ist nicht für benutzerdefinierte Integrationen verantwortlich und Sie verwenden benutzerdefinierte Integrationen auf eigenes Risiko.

Die neueste Version von Home Assistant Core verfügt über zusätzlichen Schutz, um Ihre Instanz zu sichern.

Die neuste Version des Home Assistant Core, welche bereits zur Verfügung steht, soll für ausreichenden Schutz sorgen. Man solle jene Version „so schnell wie möglich“ einspielen. Hierzu gilt es im Menüpunkt „Supervisor“ zu prüfen, ob ein Update auf 2021.1.3 (oder neuer) zur Verfügung steht. Spätestens nach dem erneuten Laden durch die gleichnamige Schaltfläche „Neu laden“ sollte das Update bereit sein.

Sollte es für euch derzeit nicht möglich sein den Home Assistant zu aktualisieren, so rät man dazu die benutzerdefinierten Integrationen zu deaktivieren:

Sie können Ihre benutzerdefinierten Integrationen deaktivieren, indem Sie den Ordner custom_components in Ihrem Home Assistant-Konfigurationsordner in einen anderen Namen umbenennen. Bitte stellen Sie sicher, dass Sie Home Assistant neu starten, nachdem Sie ihn umbenannt haben.

Genauere, konkrete Informationen – auch dazu, welche „sensiblen Informationen“ möglicherweise preisgegeben wurden, hat man bis dato nicht parat. Man untersuche derzeit noch den „Umfang des Problems“ und werde weitere Details nachreichen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. Danke für den Hinweis. Hab gleich mal das Update angestoßen…

    • Als Tipp: Immer die Blogs der Hersteller abonnieren. Dann verpasst solche News auch nicht mehr. Habe z.b. den Homeassistent Blog im TTRSS drin.

  2. Ich nehme an wenn mein Raspberry keine Verbindung zur Außenwelt hat kann kann ja eigentlich nichts sen.
    Trotzdem danke für den Tipp

    • Machst du die Updates dann per SD-Karte und ohne Internet und hast auch kein Zugriff auf dein Heimnetz? Das wäre ja tatsächlich ein bombensicheres System. Respekt!

      Ich bin nach anfänglicher manueller Installation wieder zur Variante für Faule gewechselt und nutze hassio. Damit kann man zwar immer noch nicht von außen zugreifen, aber von innen natürlich rausfunken oder etwas nachladen. Theoretisch könnte da Tür und Tor offen sein, wenn der richtige Server kontaktiert wird.

      • Heimnetzverbindung über FRITZ!Box in Kombination mit der Homeassistant App funktioniert auf meinem Android Smartphone problemlos,

      • Bei einem Update wird die Internetsperre durch die Fritzbox geöffnet und nach dem Update wieder geschlossen.

        • GooglePayFan says:

          Glaubst du, dass wie im Kinofilm ein Hack oder eine Rufnummernrückverfolgung immer 2 Minuten dauert oder wieso meinst du, dass diese Zeit nicht für das Ausnutzen einer Sicherheitslücke reichen würde?

  3. Meiner Meinung nach wird das Problem unnötig aufgebauscht. Zumal bisher keiner (von den HA Lauten) sich dazu geäußert hat welche Integrationen „betroffen“ wären und auch nicht auf welche „sensiblen“ Informationen die Integrationen zugegriffen haben und was mit diesen Informationen passiert ist. Nur wenn man das weiß kann man sagen obs ein Sicherheitsproblem ist oder nicht bzw. wie schlimm.

    Ich hoffe nur das die HA Jungs jetzt keinen Mist machen und z.B. die Unterstützung für die Custom Integrationen abschaffen, weil dann hätte sich HA für mich erledigt bzw. würde ich dann auf einer der jetzigen Versionen bleiben.

  4. Es kann meiner Meinung nach ja nur etwas mit der ’secrets.yaml zu tun haben‘.
    Vielleicht können die Addons ja die komplette Datei auslesen, statt nur nach dem für das Addon passenden Eintrag zu suchen.

  5. Quatsch, das hat gar nichts mit der „secrets.yaml“ zu tun. Bitte, wenn schon eine Meinung dazu, dann verifiziert und nicht „mal so“. Insbesondere bei Sicherheitsbedenken ist es nicht hilfreich, wenn irgendwelche Behauptungen in den Raum gestellt werden!

    Hier ist ein Post, übrigens aus einem Kommentar des besagten Security Bulletins, der anhand des Quellcodes zeigt, was geändert wurde.
    https://community.home-assistant.io/t/security-bulletin/268456/12

    Wie man sehen kann, sollen damit “ nur“ merkwürdige Anfragen geblockt werden. Also kein völlig offenes System, sondern „nur“ das eventuell mögliche abgreifen von sensorischen Daten. Eventuell möglich, nicht passiert schon! Die meist genutzten components sind auch schon geprüft und völlig ok.

    • Interessant wird es aber trotzdem ein paar Kommentare weiter unten, denn da geht es genau um das Thema Zugriffsdaten…

      https://community.home-assistant.io/t/security-bulletin/268456/23

      Zudem habe ich meine Meinung geäußert, da laut Artikel ja noch gar keine Fakten vorlagen.
      Sollte also klar sein, dass es nur um Vermutungen gehen kann.

      • Ja, aber wie Frenck (übrigens fest angestellter Entwickler bei Home Assistant) schon sagt, diese Art von schutz ist schlicht konzeptionell nicht umsetzbar. Wie will man das denn machen? Zu einem Zeitpunkt X bedarf es des entschlüsselten Passworts, und an dieser Stelle kann eine schädliche App die Daten abgreifen. Daran wird man soweit auch kaum etwas ändern können. An die Datei an sich ist aktuell schon kein rankommen.

        Die Frage, die mit dem von Dir verlinkten Kommentar beantwortet wird, ist aber eigentlich eine andere: da geht es darum, dass die „secrets.yaml“ versehentlich bei der Sicherung der Konfigurationsordner, z.B. bei Github, mit hochgeladen wird, und das auch noch unverschlüsselt. Das wiederum ist aber ein Problem, dass in HA nicht gelöst werden kann, das gehört in die entsprechende Anwendung zum Backup, entsprechend zu Github.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.