Home Assistant hat eine Sicherheitslücke in den Companion-Apps für Android und iOS geschlossen. Die Schwachstelle betrifft ältere Versionen der mobilen Apps und wird als hoch eingestuft. Unter bestimmten Bedingungen konnte ein Angreifer an das Zugriffstoken eines angemeldeten Nutzers gelangen. Betroffen sind die Android-App vor Version 2026.4.4 und die iOS-App vor Version 2026.4.1. Wer die Companion-App nutzt, sollte daher prüfen, ob bereits die aktuelle Version installiert ist.
Problem lag in der WebView-Anbindung
Die Lücke hing mit der WebView innerhalb der Companion-App zusammen. Home Assistant nutzt dort eine Schnittstelle, damit die Weboberfläche mit nativen App-Funktionen kommunizieren kann. Genau diese Schnittstelle stand jedoch nicht nur dem eigentlichen Home-Assistant-Frontend zur Verfügung. Auch eingebettete Inhalte konnten sie unter bestimmten Umständen ansprechen. In Verbindung mit einer weiteren Schwäche ließ sich darüber JavaScript im Kontext der Hauptseite ausführen.
Webpage-Karten als möglicher Angriffsweg
Ein realistisches Szenario betrifft Dashboards mit Webpage-Karten. Diese Karten binden externe Webseiten per iframe ein. Das kann etwa ein Wetterdienst, eine Statusseite oder ein anderes externes Dashboard sein. Wird eine solche externe Seite von einem Angreifer kontrolliert oder später kompromittiert, kann sie die Schwachstelle ausnutzen. Öffnet der Nutzer anschließend das betroffene Dashboard in der Companion-App, kann der Angriff starten.
Zugriff auf API und Smart-Home-Funktionen
Das Problem ist deshalb ernst, weil ein gültiges Zugriffstoken weitreichende Rechte bietet. Ein Angreifer kann damit auf die Home-Assistant-API zugreifen und im Rahmen der Rechte des betroffenen Nutzers Aktionen ausführen. Dazu gehören das Auslesen von Zuständen, das Auslösen von Diensten, das Steuern von Geräten sowie Änderungen an Automationen oder Skripten. Je nach Home-Assistant-Installation kann das von einfachen Lichtschaltungen bis zu sicherheitsrelevanten Smart-Home-Funktionen reichen. Zusätzlich beschreibt Home Assistant einen möglichen Störangriff. Über dieselbe Schwachstelle konnte die Verbindung zur App entfernt werden. Der Nutzer musste die Companion-App danach erneut einrichten.
Updates stehen bereit
Home Assistant hat die Lücke mit den aktuellen Versionen der Companion-Apps geschlossen. Unter Android ist mindestens Version 2026.4.4 erforderlich, unter iOS mindestens Version 2026.4.1. Wer nicht sofort aktualisieren kann, sollte vorübergehend alle Webpage-Karten mit externen Inhalten aus seinen Dashboards entfernen. Das gilt besonders für eingebundene Seiten, die nicht vollständig unter eigener Kontrolle stehen. Die Schwachstelle wird als CVE-2026-44698 geführt und erreicht einen CVSS-Wert von 8,3.
