- Mitglied seit
- 05. Nov 2015
- Beiträge
- 4.429
- Punkte für Reaktionen
- 1.736
- Punkte
- 214
Da ich gerade bei meiner Home Assistant Installation über eine Datei gestolpert bin und es hier ja auch jede Menge User gibt die Home Assistant im Einsatz haben, hier mal eine allgemeine Info zu dem Thema Sicherheit.
Es gibt bei Home Assistant u.a. die Datei core.config_entries, die in einem Ordner unverschlüsselt vorhanden ist. Darin speichert Home Assistant alle Daten die für den Zugriff auf ein eingebundenes Gerät, oder einen eingebundenen Dienst (Cloud, Email usw.) notwendig sind.
Mal angenommen man hat bei Home Assistant z.B. seinen Router, IP Kameras, PV-Anlage, NAS, Zugänge zu irgendwelchen Clouds, seinen Kalender, seinen Email-Account usw. eingebunden, dann stehen in der core.config_entries sämtliche Daten (Gerätename, MAC, IP, Port, Username, Passwort, Token-Daten usw.) dafür unverschlüsselt, sprich im Klartext. Für eine DS720+ sieht das dann z.B. so aus:
Anmerkung: Natürlich habe ich hier die Daten verfremdet. 
Sollte also "Jemand" durch irgendeine Sicherheitslücke irgendwie Zugriff auf die Datei core.config_entries bekommen, hat dieser "Jemand" sämtliche Zugangsdaten für alle Geräte und Dienste die bei Home Assistant eingebunden sind und/oder waren. Das wäre dann der "Super-Gau".
Ich will mich jetzt hier nicht weiter darüber auslassen was es alles für potentielle Wege, Möglichkeiten und evtl. Lücken gibt, bzw. geben könnte, an diese Datei heran zu kommen und/oder wie groß die Wahrscheinlichkeit dafür ist, sondern ich möchte nur mal darauf hinweisen was bereits der Zugriff durch Dritte auf nur eine einzige Datei ggf. für Konsequenzen haben kann. Dagegen ist der Zugriff durch eine Sicherheitslücke auf das NAS (Stichwort: ioBroker und Admin Zugang) und das verschlüsseln sämtlicher Daten auf dem NAS durch irgendwelche "bösen Buben", wohl noch "harmlos".
Anm.: Ich will hier Home Assistant nicht schlecht machen, oder als (besonders) unsicher bezeichnen/darstellen, sondern nur ein wenig "sensibilisieren" was die Nutzung eines SmartHome-Systems (in dem Fall Home Assistant) bedeuten kann und welche Gefahren darin ggf. lauern können.
VG Jim
Es gibt bei Home Assistant u.a. die Datei core.config_entries, die in einem Ordner unverschlüsselt vorhanden ist. Darin speichert Home Assistant alle Daten die für den Zugriff auf ein eingebundenes Gerät, oder einen eingebundenen Dienst (Cloud, Email usw.) notwendig sind.
Mal angenommen man hat bei Home Assistant z.B. seinen Router, IP Kameras, PV-Anlage, NAS, Zugänge zu irgendwelchen Clouds, seinen Kalender, seinen Email-Account usw. eingebunden, dann stehen in der core.config_entries sämtliche Daten (Gerätename, MAC, IP, Port, Username, Passwort, Token-Daten usw.) dafür unverschlüsselt, sprich im Klartext. Für eine DS720+ sieht das dann z.B. so aus:
Code:
"entry_id": "a10e36c4b134353435j4589de3925b977f0",
"version": 1,
"domain": "synology_dsm",
"title": "DS720",
"data": {
"host": "192.168.178.20",
"port": "5001",
"ssl": true,
"verify_ssl": false,
"username": "Klartextname",
"password": "Klartextpasswort",
"mac": [
"90-09-D0-22-D1-B0",
"90-09-D0-22-D2-C8"Sollte also "Jemand" durch irgendeine Sicherheitslücke irgendwie Zugriff auf die Datei core.config_entries bekommen, hat dieser "Jemand" sämtliche Zugangsdaten für alle Geräte und Dienste die bei Home Assistant eingebunden sind und/oder waren. Das wäre dann der "Super-Gau".
Ich will mich jetzt hier nicht weiter darüber auslassen was es alles für potentielle Wege, Möglichkeiten und evtl. Lücken gibt, bzw. geben könnte, an diese Datei heran zu kommen und/oder wie groß die Wahrscheinlichkeit dafür ist, sondern ich möchte nur mal darauf hinweisen was bereits der Zugriff durch Dritte auf nur eine einzige Datei ggf. für Konsequenzen haben kann. Dagegen ist der Zugriff durch eine Sicherheitslücke auf das NAS (Stichwort: ioBroker und Admin Zugang) und das verschlüsseln sämtlicher Daten auf dem NAS durch irgendwelche "bösen Buben", wohl noch "harmlos".
Anm.: Ich will hier Home Assistant nicht schlecht machen, oder als (besonders) unsicher bezeichnen/darstellen, sondern nur ein wenig "sensibilisieren" was die Nutzung eines SmartHome-Systems (in dem Fall Home Assistant) bedeuten kann und welche Gefahren darin ggf. lauern können.
VG Jim
