Home Assistantのインターネットアクセスにおけるセキュリティ上の欠陥
2024-12-15
Frederik Braun氏は、Home Assistantを使用してスマートホームのリモート制御を試みましたが、重大なセキュリティ上の脆弱性を発見しました。Home Assistantはユーザー名/パスワードと2要素認証を提供していますが、埋め込まれたクレデンシャルを含むURLを処理できないこと、ルートパスでの展開が必要であることから、Webサーバー認証や曖昧なパスなどの追加のセキュリティレイヤーを追加することができません。そのため、Home Assistantのセキュリティは内部メカニズムのみに依存しており、セキュリティリスクが生じています。著者は、Home Assistantコミュニティに対して、セキュリティ設定の柔軟性を向上させるよう求めています。