Home Assistantのhome assistant companionにおけるAndroid アプリケーションコンポーネントの不適切なエクスポートの脆弱性
| Title |
Home Assistantのhome assistant companionにおけるAndroid アプリケーションコンポーネントの不適切なエクスポートの脆弱性
|
| Summary |
Home Assistantは、ローカル制御とプライバシーを最優先するオープンソースのホームオートメーションソフトウェアです。2026年5月3日以前のバージョンでは、LocationSensorManagerのBroadcastReceiverが許可なくエクスポートされていました。権限を一切持たない任意のインストール済みアプリが、偽造されたGoogle Play ServicesのLocationResultを直接BroadcastReceiverに送信でき、そのReceiverはその付加情報を信頼してユーザーのHome Assistantサーバーにデバイスの実際の位置情報として転送しました。これにより、Androidの開発者モードの「モック位置情報」機能を回避でき、ローカルの悪意あるアプリがユーザーのGPS位置を偽装してゾーンベースの自動化(ドアの解錠、警報の解除、ガレージの開放など)を実行可能になります。この脆弱性は2026年5月3日に修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 23, 2026, midnight |
| Registration Date |
June 29, 2026, 11:11 a.m. |
| Last Update |
June 29, 2026, 11:11 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.1
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N |
Affected System
| Home Assistant |
|
home assistant companion 2026.5.3 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月29日]
掲載 |
June 29, 2026, 11:11 a.m. |
NVD Vulnerability Information
CVE-2026-54318
| Summary |
Home Assistant is open source home automation software that puts local control and privacy first. Prior to 2026.5.3, the LocationSensorManager BroadcastReceiver is exported with no permission. Any installed app, with zero runtime permissions, can broadcast a forged Google Play Services LocationResult directly to it; the receiver trusts the extra and forwards it to the user's Home Assistant server as the device's real location. This bypasses Android's developer-mode "Mock Location" gate and allows a local malicious app to drive zone-based automations (unlock door / disarm alarm / open garage) by faking the user's GPS position. This vulnerability is fixed in 2026.5.3.
|
| Publication Date |
June 24, 2026, 3:18 a.m. |
| Registration Date |
June 27, 2026, 4:15 a.m. |
| Last Update |
June 27, 2026, 4:28 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:home-assistant:home_assistant_companion:*:*:*:*:*:android:*:* |
|
|
|
2026.5.3 |
Related information, measures and tools
Common Vulnerabilities List