Eine als critical eingestufte Lücke, die als CVE-2025-66270 katalogisiert ist, wurde in aktuellen Versionen von KDE Connect, die nach März 2025 veröffentlicht wurden, entdeckt. Diese verwenden das KDE Connect Protokoll 8. In dieser Protokollversion erfordert das Auffinden anderer Geräte mit KDE Connect im Netzwerk einen zusätzlichen Paketaustausch zwischen den beiden Geräten. Während das erste Paket dazu dient, festzustellen, ob ein Gerät gekoppelt ist oder nicht, wird dieses zusätzliche Paket verwendet, um das Gerät zu identifizieren, das eine Verbindung herstellt.
Paketaustausch manipulierbar
Die anfälligen Implementierungen von KDE Connect überprüfen nicht, ob die Geräte-ID im ersten
Paket und die Geräte-ID im zweiten Paket identisch waren. Dies konnte ausgenutzt werden, indem zunächst die Geräte-ID eines nicht gekoppelten Geräts gesendet wurde, für das keine Authentifizierung erforderlich ist, und anschließend die Geräte-ID eines gekoppelten Geräts gesendet wurde, um sich als dieses auszugeben.
Die betroffenen Versionen sind:
- KDE Connect Desktop: >= 25.04 und < 25.12
- KDE Connect Android: >= v1.33.0 und < 1.34.4
- KDE Connect iOS: >= v0.5.2 und < 0.5.4
- GSConnect: >= 59 und < 68
- Valent: >= v1.0.0.alpha.47 und < v1.0.0.alpha.49
Die KDE-Entwickler empfehlen, KDE Connect nicht mehr zu verwenden, bis die jeweils verwendete Linux-Distribution ein Update veröffentlicht.
Das wollte ich auch gerade anmerken. Dieser Bug ist nur dann kritisch, wenn sich der Angreifer im selben Netzwerk aufhält wie Smartphone und Computer.
Dann müsste der Angreifer auch noch wissen, dass ihr KDE Connect überhaupt nutzt. Wenn ich mich einen Tag lang mit meinem Hacker Computer an den Frankfurter Flughafen setzte und darauf warte, dass da jemand durchläuft, mit ungeschütztem KDE Connect, dann sind meine Erfolgsaussichten minimal 😀
Trotzdem muss das Problem natürlich schnellstmöglich behoben werden, versteht mich richtig. Aber euer persönliches Risiko ist vermutlich recht klein.
Bei Debian, Tuxedo OS, Arch, Fedora und Void gibt es bereits gepatchte Pakete.
Ergänzung: es wird nur empfohlen, KDE Connect in öffentlichen bzw nicht-vertrauenswürdigen WLANs nicht mehr zu nutzen. Im heimischen WLAN ist es egal.