Для популярного кросс-платформенного приложения KDE Connect был выпущен бюллетень безопасности. Инструмент, предназначенный для передачи файлов и взаимодействия между устройствами, содержит ошибку в протоколе, которая может позволить злоумышленнику полностью обойти процедуру аутентификации. Уязвимости присвоен идентификатор CVE-2025-66270.
Детали технической проблемы
Корень проблемы кроется в реализации версии 8 протокола KDE Connect, которая была внедрена в версиях программного обеспечения, выпущенных после марта 2025 года. В этой версии протокола процесс обнаружения других устройств в сети включает дополнительный обмен пакетами данных между двумя сторонами.
Механизм работает следующим образом: первый пакет используется для определения статуса сопряжения устройства, а дополнительный пакет предназначен для идентификации подключаемого гаджета.
Уязвимость заключается в том, что проблемные реализации KDE Connect не выполняли проверку соответствия идентификатора устройства (Device ID) в первом пакете и идентификатора во втором пакете. Злоумышленники могут использовать это упущение для подмены устройства.
Сценарий атаки
Атака осуществляется в два этапа:
-
Сначала злоумышленник отправляет идентификатор несопряженного устройства. Поскольку устройство не сопряжено, система не требует аутентификации на этом этапе.
-
Затем злоумышленник отправляет идентификатор сопряженного (доверенного) устройства.
Из-за отсутствия сверки идентификаторов между пакетами, система воспринимает атакующего как доверенное устройство, позволяя ему действовать от чужого имени.
Список уязвимых версий
Разработчики опубликовали список версий программного обеспечения, подверженных данной уязвимости. Проблема затрагивает не только основной клиент, но и сторонние реализации, такие как GSConnect и Valent.
KDE Connect (десктопная версия):
-
версии от 25.04 до 25.12 (не включая)
KDE Connect для iOS:
-
версии от v0.5.2 до v0.5.4 (не включая)
KDE Connect для Android:
-
версии от v1.33.0 до v1.34.4 (не включая)
GSConnect (реализация для GNOME):
-
версии от 59 до 68 (не включая)
Valent (реализация для GTK):
-
версии от v1.0.0.alpha.47 до v1.0.0.alpha.49 (не включая)
Рекомендации по безопасности
Разработчики KDE настоятельно рекомендуют временно прекратить использование KDE Connect до тех пор, пока ваш дистрибутив Linux не выпустит соответствующее обновление с исправлением. Опытные пользователи, имеющие соответствующие навыки, могут применить патч вручную.
Linux: обзоры и обновления
• Разработчики KDE Connect предупредили об угрозе безопасности в версиях после марта 2025 года
• KDE объявляет о полном переходе на Wayland и прекращении поддержки X11
• Релиз ядра Linux 6.18: оптимизация аллокатора SLUB, шифрование PSP и удаление Bcachefs
• Обновления Linux за неделю: 24 – 30 ноября 2025 года
• График разработки Ubuntu 26.04 LTS: даты релизов и внедрение GNOME 50
• Релиз дистрибутива Solus 4.8 с GNOME 49, Plasma 6.5 и отказом от Python 2