Companion-Apps ermöglichen Übernahme durch Angreifer

Nicknol · 2. Juni 2026 um 06:55

Die Companion-Apps für Android und iOS reißen ein Sicherheitsleck in Home Assistant. Angreifer könnten Instanzen übernehmen.

[…]

Aktualisierte Software fixt das Problem

Die Schwachstelle bessern die Home-Assistant-Companion-Apps in Version 2026.4.4 für Android und 2026.4.1 für iOS aus.

Stefan_HA · 2. Juni 2026 um 10:09

Wobei die App bereits vor gut 1,5 Monaten aktualisiert wurde, zumindest bei Android. Bei iOS weiß ich es nicht.

Buginithi · 2. Juni 2026 um 11:20

Für iOS wurde die App vor etwa 1 Woche auf 2026.5.0 aktualisiert.

MarzyHA · 2. Juni 2026 um 14:10

Besonders kritisch erscheint mir das aber nicht. Es scheint dabei ja nur darum zu gehen, dass Websiten die man über die HA-App öffnet den Access Token abgreifen können.

Ein Exploit ist daher relativ unwahrscheinlich:

Wenn die HA Instanz nicht im Internet erreichbar ist, bringt der Access-Token Hackern überhaupt nichts
Man müsste eine Webseite, die den Exploit ausnutzt, in HA eingebunden haben

schreibsi · 2. Juni 2026 um 14:58

Und genau das dürfte ein Problem sein. Der sorglose User ist mit allem sofort im Internet und von überall erreichbar. Für den bedachten User scheint das unvorstellbar. Die meisten werden erst aus Schaden klug.