[ad_1]
Resumen: Home Assistant ha completado dos auditorías de seguridad como parte de nuestras evaluaciones de seguridad periódicas. Estás seguro. No se encontraron omisiones de autenticación. Solucionamos problemas relacionados con atacantes que podían engañar a los usuarios para que tomaran el control de su instancia. Todas las correcciones están incluidas en Home Assistant 2023.9 (lanzado el 6 de septiembre de 2023) y las últimas aplicaciones de Home Assistant para iOS y Android. Por favor asegúrese de estar actualizado.
La seguridad es muy importante para nosotros en Home Assistant y Nabu Casa. Debido a que somos de código abierto, es fácil para cualquiera revisar nuestro código y, según los problemas reportados, la gente lo hace. Sin embargo, también es necesario contratar personas para que realicen una auditoría de seguridad real para garantizar que se hayan cubierto todos los códigos importantes.
Al suscribirse a Home Assistant Cloud, recibe financiación para el desarrollo y mantenimiento continuo de Home Assistant, incluidas auditorías de seguridad externas. Para garantizar que nuestra seguridad sea de primer nivel, Nabu Casa contrató a Cure53 para realizar una auditoría de seguridad de las partes críticas de Home Assistant. Cure53 es una conocida empresa de ciberseguridad que descubrió vulnerabilidades en productos Mastodon y Ring en el pasado.
Cure53 encontró problemas en Home Assistant, tres de los cuales fueron clasificados como «críticos». Los problemas críticos permitirían a un atacante engañar a los usuarios y robar credenciales. Todos los problemas informados se resolvieron como parte de Home Assistant 2023.9, lanzado el 6 de septiembre de 2023. No se encontraron problemas de omisión de autenticación. Según el informe de Cure53:
La calidad general del código base fue impresionante, mientras que las arquitecturas y marcos utilizados en todas las áreas de aplicación relevantes representaron paradigmas de diseño resilientes en general. En particular, la seguridad frontal presentó numerosas oportunidades de refuerzo, lo que se vio reforzado aún más por los riesgos asociados críticos identificados. Sin embargo, una vez que se hayan mitigado, será posible lograr una situación de seguridad ejemplar.
En agosto, el GitHub Security Lab también probó Home Assistant. Encontraron seis problemas no críticos en Home Assistant Core y nuestras aplicaciones de iOS y Android. Dos de los temas se superpusieron con Cure53. Todos los problemas reportados han sido resueltos y liberados.
Nos gustaría agradecer a ambos equipos por sus revisiones, problemas informados y por garantizar la seguridad de nuestros usuarios 🙏
Todos los problemas encontrados se han agregado a nuestra página de seguridad. Esta página se actualizó para incluir un cronograma continuo de los problemas reportados, quién los reveló y un enlace al informe de problemas en GitHub.
Si cree que ha encontrado un problema de seguridad, consulte nuestra página de seguridad para saber cómo informarlo a Home Assistant.
[ad_2]