In uitgave 2023.12 we hebben een opnieuw ontworpen inlogpagina toegevoegd aan House Assistant. Het detecteert wanneer u House Assistant gebruikt through uw lokale thuisnetwerk, en als dat het geval is, presenteert het een opnieuw ontworpen inlogervaring die uw gebruikersprofielen toont. Als je House Assistant opent van buiten je thuisnetwerk, vraagt de inlogpagina nog steeds om je gebruikersnaam en wachtwoord, zoals voorheen.
We hebben vanuit de gemeenschap de zorgen gehoord dat deze functionaliteit uw House Assistant-instantie kan openstellen voor een gebruikersopsommingsaanval vanuit het lokale netwerk. Een kwaadwillende actor met toegang tot uw lokale netwerk kan de namen en foto’s van alle House Assistant-gebruikers bemachtigen. Ze kunnen deze informatie gebruiken om het aanvallen van uw House Assistant-instantie eenvoudiger te maken.
Hiervoor is op 10 december een beveiligingsprobleem ingediend, we hebben het overeenkomstige geaccepteerd en gepubliceerd GitHub-beveiligingsadviesen hebben de opnieuw ontworpen functionaliteit van de inlogpagina uitgeschakeld in patch 2023.12.3, uitgebracht op 14 december.
Tijdens het onderzoeken van de suggestions die we ontvingen, ontdekten we tot onze verontrusting dat de gebruikers die problemen ondervonden met de nieuwe inlogpagina vaak verkeerd geconfigureerde reverse proxy’s gebruikten. Wanneer de reverse proxy niet appropriate is geconfigureerd, kan House Assistant geen onderscheid meer maken tussen verkeer van uw lokale thuisnetwerk of een openbaar netwerk. Deze gebruikers zouden de opnieuw ontworpen inlogpagina zien wanneer ze House Assistant openen vanaf buiten hun thuisnetwerk.
Om de netwerkbeveiliging van deze gebruikers te verbeteren, onderzoeken we hoe we House Assistant kunnen gebruiken om meer varianten van verkeerd geconfigureerde proxy’s te detecteren en hen hierover te informeren.
We hebben de inlogpagina opnieuw ontworpen omdat we van mening waren dat het lokale thuisnetwerk zich binnen de privateness van uw eigen huis bevindt en een vertrouwde omgeving is om de mensen daarin te laten zien. We gingen ervan uit dat gebruikers die proberen in te loggen op het lokale netwerk ook vertrouwd worden en andere gebruikersprofielen mogen zien, vergelijkbaar met wat Microsoft, Apple, Netflix en andere bedrijven in hun producten veronderstellen.
Dat gezegd hebbende, luisteren we naar u en nemen we uw suggestions en het potentiële veiligheidsrisico voor gebruikers met verkeerd geconfigureerde reverse proxy’s serieus. Bedankt dat u dit onder onze aandacht heeft gebracht en dat u open bent over uw zorgen.