Hoy hemos podido ver una nueva versión de Home Assistant, pero, en lugar de ser la habitual entrada de dispositivos y corrección de errores, se trata de una importante actualización de seguridad.
El equipo de Home Assistant parece estar dando un repaso de arriba a abajo a la seguridad de la plataforma ya que hemos podido ver como en la versión 0.73 se dejaban todo preparado para poder actualizar el método de login para hacerlo más seguro, sobretodo ahora que está cogiendo un importante volumen de usuarios con sus sistemas expuestos en internet y, un número que va en aumento.
En esta nueva actualización de seguridad, con el número 0.73.2, nos explican que han descubierto un problema que dejaron mal configurado en la versión 0.56 de hace 9 meses y que ha estado mal configurado hasta esta actualización que os estoy comentando, en el link del comunicado, nos explican que este fallo podría haber permitido a un usuario malicioso y que tuviera posibilidad de ver nuestro Home Assistant, realizar un ataque llamado Man in the Middle, lo que le permitiría ver el tráfico colocándose en medio de nuestro Home Assistant y con el servicio que podría estar usando éste.
Por este motivo, tras una disculpa por este gran error, nos recomiendan cambiar la contraseña o cambiar la clave API con la que se usaban los plugins listados. Como podéis imaginar, es recomendable la actualización a la última versión y que reviséis los servicios que usais que pueden estar afectados para cambiar la clave o la API.
Fuente: Página del comunicado