Home Assistant kihasználások
A Home Assistant Android- és iOS-alkalmazásaiban egy magas kockázatú hozzáférésátvételi sérülékenységet javítottak (CVE-2026-44698, CVSS 8.3), amely lehetővé tehette a Home Assistant példány teljes kompromittálását. A hiba a mobilalkalmazások beépített WebView-komponensében található JavaScript-híd (JS Bridge) hibás kezeléséből ered.
A Home Assistant irányítópulton beágyazott külső weboldal – iframe – képes volt JavaScript-kódot futtatni a fő alkalmazási környezetben, majd megszerezni a bejelentkezett felhasználó hozzáférési tokenjét. A megszerzett tokennel a támadó átvehette a felhasználó jogosultságait, adminisztrátori fiók esetén akár a teljes Home Assistant környezet felett is.
A támadási forgatókönyv szerint az áldozatnak telepítve kellett lennie a Home Assistant mobilalkalmazásnak, be kellett jelentkeznie a rendszerbe, valamint olyan irányítópultot kellett megnyitnia, amely külső weboldalt ágyazott be. Ha a külső szolgáltatás rosszindulatú volt vagy kompromittálódott, a token automatikusan kiszivároghatott a támadóhoz.
A hibát a Home Assistant Android 2026.4.4 és iOS 2026.4.1 verziók javítják. Azok számára, akik nem tudnak azonnal frissíteni, a fejlesztők azt javasolják, hogy távolítsák el az irányítópultokról a külső weboldalakat megjelenítő Webpage Card elemeket, és kerüljék harmadik fél URL-jeinek beágyazását.
A modern okosotthon-platformok egyik növekvő kockázata során, nem maguk az IoT-eszközök sérülnek, hanem a mobilalkalmazások, webes komponensek és beágyazott külső szolgáltatások közötti bizalmi kapcsolatok. Egyetlen tokenlopás elegendő lehet a teljes automatizálási infrastruktúra feletti irányítás megszerzéséhez.
