Sicherheitsleck in Home Assistant: Companion-Apps ermöglichen Übernahme durch Angreifer

Wer sein Smart Home über die offiziellen Smartphone-Apps von Home Assistant steuert, sollte jetzt schnell handeln. Eine neu entdeckte Sicherheitslücke in den Companion-Apps für Android und iOS bedroht die Sicherheit der gesamten Haussteuerung.

Nutzer der beliebten Open-Source-Smart-Home-Plattform Home Assistant stehen vor einer ernsthaften Sicherheitswarnung. Wie das IT-Nachrichtenportal Heise Online berichtet, klafft in den offiziellen Companion-Apps für Mobilgeräte eine kritische Schwachstelle. Angreifer könnten diese ausnutzen, um die vollständige Kontrolle über die jeweilige Home-Assistant-Instanz zu erlangen.

Das Risiko: Token-Diebstahl mit hoher Priorität

Die Schwachstelle wird unter der Kennung CVE-2026-44698 geführt und von Experten mit einem CVSS-Score von 8.3 eingestuft, was einem „hohen“ Risiko entspricht.

Das Problem liegt in der Art und Weise, wie die mobilen Apps mit dem Home-Assistant-Server kommunizieren. Durch das Sicherheitsleck ist es potenziellen Angreifern möglich, sensible Zugriffstokens (Access Tokens) abzugreifen. Da diese Tokens zur Authentifizierung der Smartphones am Server dienen, verhalten sie sich wie ein Generalschlüssel: Einmal im Besitz des Tokens, kann ein Angreifer dem Server vorgaukeln, das legitime Smartphone des Besitzers zu sein.

Vollständige Übernahme der Haussteuerung droht

Die Konsequenzen eines erfolgreichen Angriffs sind weitreichend. Da Home Assistant in der Regel das Herzstück des smarten Zuhauses bildet – von der Alarmanlage über die Türschlösser bis hin zu Kameras, Heizung und Beleuchtung –, bedeutet eine Übernahme der Instanz den potenziellen Kontrollverlust über das gesamte Gebäude. Angreifer könnten im schlimmsten Fall:

  • Smarte Türschlösser öffnen oder Sicherheitsrelais manipulieren.
  • Überwachungskameras einsehen und private Daten ausspähen.
  • Automatisierungen manipulieren oder Schadcode im lokalen Netzwerk ausführen.

Dringendes Update empfohlen

Die Entwickler von Home Assistant haben schnell reagiert und entsprechende Sicherheitsupdates im GitHub-Repository dokumentiert. Für Nutzer der Companion-Apps gilt daher ab sofort die dringende Empfehlung: Schleunigst die App-Stores (Google Play Store für Android und Apple App Store für iOS) aufrufen und die Home Assistant App auf die neueste Version aktualisieren.

Updates für Smart-Home-Systeme sollten generell zeitnah eingespielt werden, doch bei Lücken, die wie diese das Abgreifen von Berechtigungen ermöglichen, ist unmittelbares Handeln erforderlich, um das eigene Heimnetzwerk abzusichern.

Quelle

Artikelbild mit Hilfe von KI erstellt.

generation i - Deine Community für alles über Apple und Heimautomationen

Diskutiere mit uns im Forum! 4 Antworten, zuletzt: 1. Juni 2026 um 21:31

Über den Autor

Ich habe generation i mit ins Leben gerufen, um Technik mit Verstand zu begleiten.

Apple-Fan? Definitiv. Aber immer mit dem kritischen Blick eines Gründers, dem Substanz wichtiger ist als jeder Hype.
Ich sorge für den richtigen Rhythmus zwischen Innovation und echtem Nutzen.

Andy Team

Antworten 4

1. Juni 2026 um 21:15

Das letzte verfügbare Update der Home Assistant App ist von 26. Mai ??

1. Juni 2026 um 21:21

Die Lücke soll wohl schon mit 2026.4.1 geschlossen worden sein - und jetzt erst veröffentlicht.

Kommt ja häufiger vor, dass Lücken erst später veröffentlicht werden - wenn das Leck geschlossen wurde.

Hier bei Github noch:

Cross-origin iframe access token exfiltration via WebView JS bridge callback injection
## Summary The Home Assistant Companion apps for [Android](https://github.com/home-assistant/android/) and [iOS](https://github.com/home-assistant/iOS/)…
github.com
1. Juni 2026 um 21:25
Zitat von Andy

soll wohl schon mit 2026.4.1

Installiert ist überall (iOS, iPadOS, macOS, Android) die 2026.5.0. Auch hier kein Update, sehr gut.

1. Juni 2026 um 21:31

Ich hab auch geschaut, bei mir auch alles aktuell.

Aber man sollte ja dennoch auf Lücken / Updates hinweisen, sobald man was mitbekommt.