Las aplicaciones complementarias (Companion Apps) de Home Assistant para Android e iOS presentan una vulnerabilidad de seguridad crítica que permite a atacantes tomar el control de la instancia de Home Assistant. La falla, identificada como CVE-2026-44698 con una puntuación CVSS de 8.3 (riesgo alto), se describe como una exfiltración de token de acceso mediante una inyección de callback en el puente JavaScript de WebView a través de iframes de origen cruzado. Básicamente, un iframe malicioso puede ejecutar código JavaScript arbitrario en la app complementaria y robar el token de acceso del usuario autenticado. Con ese token, el atacante puede suplantar al usuario y, dependiendo de sus permisos, tomar el control total de la instancia. El vector de ataque requiere que el usuario tenga instalada la app complementaria, esté autenticado en su servidor Home Assistant y haya agregado una tarjeta de página web (iframe) que cargue un sitio controlado por el atacante. Al abrir el panel, el token se envía al atacante. Las versiones corregidas son 2026.4.4 para Android y 2026.4.1 para iOS. Como solución temporal, los desarrolladores recomiendan eliminar cualquier tarjeta de página web de los paneles y evitar integrar URLs de terceros.
Home Assistant: vulnerabilidad en apps para Android e iOS permite tomar el control
