Samenvatting: Dwelling Assistant heeft twee beveiligingsaudits laten uitvoeren als onderdeel van onze reguliere beveiligingsbeoordelingen. Jij bent Veilig. Er zijn geen authenticatieomzeilingen gevonden. We hebben problemen opgelost die verband hielden met aanvallers die gebruikers mogelijk konden misleiden om hun exemplaar over te nemen. Alle fixes zijn opgenomen in Dwelling Assistant 2023.9 ​​(uitgebracht op 6 september 2023) en de nieuwste Dwelling Assistant-apps voor iOS en Android. Zorg ervoor dat u op de hoogte bent.

Veiligheid vinden wij bij Dwelling Assistant en Nabu Casa erg belangrijk. Omdat we open supply zijn, is het gemakkelijk om iedereen onze code te laten controleren – en op foundation van gemelde problemen doen mensen dat ook. U moet echter ook mensen inhuren om een ​​daadwerkelijke beveiligingsaudit uit te voeren om er zeker van te zijn dat alle belangrijke code is afgedekt.

Abonneren op Dwelling Assistant-cloud verstrekt financiering voor de voortdurende ontwikkeling en het onderhoud van Dwelling Assistant, inclusief externe beveiligingsaudits. Om ervoor te zorgen dat onze beveiliging van topklasse is, heeft Nabu Casa Cure53 ingehuurd om een ​​beveiligingsaudit uit te voeren van cruciale onderdelen van Dwelling Assistant. Genezing53 is een bekend cybersecuritybedrijf dat in het verleden kwetsbaarheden heeft aangetroffen Mastodont En Ringproducten.

Cure53 ontdekte problemen in Dwelling Assistant, waarvan er 3 als ‘kritiek’ werden gemarkeerd. Door de kritieke problemen zou een aanvaller gebruikers kunnen misleiden en inloggegevens kunnen stelen. Alle gemelde problemen zijn opgelost als onderdeel van Dwelling Assistant 2023.9, uitgebracht op 6 september 2023. Er zijn geen problemen met het omzeilen van de authenticatie gevonden. Volgens het rapport van Cure53:

De kwaliteit van de codebase was over het geheel genomen indrukwekkend, terwijl de architectuur en raamwerken die in alle relevante toepassingsgebieden werden ingezet veerkrachtige ontwerpparadigma’s in het algemeen waren. Vooral de front-end-beveiliging bood volop mogelijkheden voor versterking, wat nog werd verergerd door de geïdentificeerde kritieke risico’s. Niettemin zal, zodra deze zijn verzacht, een voorbeeldige veiligheidspositie zeker haalbaar zijn.

In augustus heeft de GitHub-beveiligingslab ook Dwelling Assistant gecontroleerd. Ze hebben zes niet-kritieke problemen gevonden in Dwelling Assistant Core en onze iOS- en Android-apps. Twee van de problemen overlapten met Cure53. Alle gemelde problemen zijn opgelost en vrijgegeven.

We willen beide groups bedanken voor hun audits, gemelde problemen en het veilig houden van onze gebruikers 🙏

Alle gevonden problemen zijn toegevoegd onze beveiligingspagina. Deze pagina is bijgewerkt met een doorlopende tijdlijn van gerapporteerde problemen, wie deze heeft bekendgemaakt, en een hyperlink naar het probleemrapport op GitHub.

Als u denkt dat u een beveiligingsprobleem heeft gevonden, ga dan naar onze beveiligingspagina hoe u dit kunt melden aan Dwelling Assistant.