Для популярного кросс-платформенного приложения KDE Connect был выпущен бюллетень безопасности. Инструмент, предназначенный для передачи файлов и взаимодействия между устройствами, содержит ошибку в протоколе, которая может позволить злоумышленнику полностью обойти процедуру аутентификации. Уязвимости присвоен идентификатор CVE-2025-66270.
Детали технической проблемы
Корень проблемы кроется в реализации версии 8 протокола KDE Connect, которая была внедрена в версиях программного обеспечения, выпущенных после марта 2025 года. В этой версии протокола процесс обнаружения других устройств в сети включает дополнительный обмен пакетами данных между двумя сторонами.
Механизм работает следующим образом: первый пакет используется для определения статуса сопряжения устройства, а дополнительный пакет предназначен для идентификации подключаемого гаджета.
Уязвимость заключается в том, что проблемные реализации KDE Connect не выполняли проверку соответствия идентификатора устройства (Device ID) в первом пакете и идентификатора во втором пакете. Злоумышленники могут использовать это упущение для подмены устройства.
Сценарий атаки
Атака осуществляется в два этапа:
-
Сначала злоумышленник отправляет идентификатор несопряженного устройства. Поскольку устройство не сопряжено, система не требует аутентификации на этом этапе.
-
Затем злоумышленник отправляет идентификатор сопряженного (доверенного) устройства.
Из-за отсутствия сверки идентификаторов между пакетами, система воспринимает атакующего как доверенное устройство, позволяя ему действовать от чужого имени.
Список уязвимых версий
Разработчики опубликовали список версий программного обеспечения, подверженных данной уязвимости. Проблема затрагивает не только основной клиент, но и сторонние реализации, такие как GSConnect и Valent.
KDE Connect (десктопная версия):
-
версии от 25.04 до 25.12 (не включая)
KDE Connect для iOS:
-
версии от v0.5.2 до v0.5.4 (не включая)
KDE Connect для Android:
-
версии от v1.33.0 до v1.34.4 (не включая)
GSConnect (реализация для GNOME):
-
версии от 59 до 68 (не включая)
Valent (реализация для GTK):
-
версии от v1.0.0.alpha.47 до v1.0.0.alpha.49 (не включая)
Рекомендации по безопасности
Разработчики KDE настоятельно рекомендуют временно прекратить использование KDE Connect до тех пор, пока ваш дистрибутив Linux не выпустит соответствующее обновление с исправлением. Опытные пользователи, имеющие соответствующие навыки, могут применить патч вручную.
Linux: обзоры и обновления
• System76 выпустила COSMIC Desktop 1.0.5 и представила дорожную карту развития Epoch 2 и 3
• Valve задерживает выпуск Steam Machine и Steam Frame из-за дефицита комплектующих
• Ubuntu 24.04.4 LTS получила HWE-обновление с ядром Linux 6.17 и Mesa 25.2.7
• AMD подтвердила выход Steam Machine от Valve в начале 2026 года
• Почему архитектура неизменяемых дистрибутивов Linux избыточна для домашних ПК
• Пять исторических дистрибутивов Linux, прекративших развитие