
Die Entwickler der beliebten KDE Connect-Anwendung für Desktop-Computer und Mobiltelefone haben dieses Wochenende eine Sicherheitswarnung herausgegeben, in der es heißt, dass Sie bestimmte Versionen der App nicht mehr in nicht vertrauenswürdigen Netzwerken verwenden sollten. Aufgrund einer Sicherheitslücke können Geräte, auf denen diese Versionen ausgeführt werden, mit Geräten interagieren, die vorgeben, von Ihnen in der Vergangenheit authentifiziert zu werden.
Um Risiken zu vermeiden, sollten Sie KDE Connect und seine Varianten mit den folgenden Versionsnummern in öffentlichen Netzwerken mit Geräten, die Sie nicht kennen, nicht mehr verwenden, heißt es in der Sicherheitswarnung:
App
|
Erste anfällige Version
|
Gepatchte Version—|—|—KDE Connect-Desktop
|
25.04
|
25.12
KDE Connect iPhone
|
0.5.2
|
0,5,4
KDE Connect Android
|
1.33.0
|
1.34.4
GSConnect
|
59
|
68
Valent
|
1.0.0.alpha.47
|
1.0.0.alpha.49
Sie müssen die Versionsnummer der von Ihnen verwendeten Apps überprüfen. Wenn es sich um die gepatchte Versionsnummer oder höher handelt, können Sie bedenkenlos weiterhin KDE Connect, GSConnect oder Valent verwenden. Wenn Sie eine frühere Version oder höher als die erste anfällige Version verwenden, sollten Sie vorsichtig sein, bis ein Update eintrifft.
Die Entwickler gingen im Sicherheitshinweis detailliert auf die Funktionsweise des Exploits ein:
Die anfälligen Implementierungen von KDE Connect überprüften nicht, ob die Geräte-ID im ersten Paket und die Geräte-ID im zweiten Paket identisch waren. Dies könnte missbraucht werden, indem zunächst die Geräte-ID eines ungepaarten Geräts gesendet wird, für das keine Authentifizierung erforderlich ist, und anschließend die Geräte-ID eines gekoppelten Geräts gesendet wird, um sich als dieses auszugeben.
Im Wesentlichen könnte ein Angreifer im lokalen Netzwerk, wenn er die ID eines bereits gekoppelten Geräts kennt, sich als dieses Gerät ausgeben. Sie könnten dann vermutlich alle Plugins nutzen, die Sie in KDE Connect aktiviert haben, sei es die Synchronisierung der Zwischenablage, das Durchsuchen des Dateisystems oder, noch schlimmer, die Befehlsausführung.
Auch dies stellt nur dann ein Problem dar, wenn Sie eine Wi-Fi- oder Ethernet-basierte Internetverbindung nutzen, die von anderen Personen genutzt wird, die Sie nicht kennen. Wenn Sie zu Hause in einem privaten Netzwerk sind, müssen Sie sich keine großen Sorgen machen. Es sind öffentliche Netzwerke an Flughäfen, Cafés und dergleichen, in denen Sie die Verwendung anfälliger Versionen von KDE Connect vermeiden sollten.
Insbesondere sind Versionen von KDE Connect vor der ersten anfälligen Version von dieser Sicherheitslücke nicht betroffen. Der Fehler wurde mit der KDE Connect-Protokollversion 8 eingeführt, die in KDE Connect-Versionen um März 2025 auftauchte. Viele Linux-Distributionen, insbesondere LTS-Versionen von Ubuntu und seinen Varianten, halten Paketaktualisierungen im Namen der Stabilität eine ganze Weile zurück, sodass die Wahrscheinlichkeit groß ist, dass Sie immer noch keine Version nach März 2025 haben.
Wenn Sie nicht sicher sind, wie Sie die Versionsnummer überprüfen können, kann ich Ihnen sagen, dass ich herausgefunden habe, dass meine Android-App sicher ist, indem ich die KDE Connect-App geöffnet, auf das Hamburger-Menü in der oberen linken Ecke und dann auf „Info“ getippt habe. Daraufhin wurde mir oben auf dem Bildschirm die Versionsnummer von KDE Connect angezeigt, die zu meiner Erleichterung 1.34.4 lautete.
Als ich die Hauptanwendung von KDE Connect auf meinem Linux-Desktop öffnete, klickte ich unten links auf die Schaltfläche „Einstellungen“, dann auf „Über KDE Connect“ und fand dort oben im Fenster die Versionsnummer.
Auf meinem Kubuntu 24.04 LTS-Laptop lief tatsächlich eine Version von vor der Sicherheitslücke, sodass ich mir über diese Sicherheitslücke dort keine Sorgen machen muss. Unter CachyOS befinde ich mich leider zwischen der ersten verwundbaren Version und der gepatchten Version. Ich mache mir darüber jedoch keine Sorgen, da es sich um einen Desktop-PC handelt, den ich nicht zu öffentlichen Hotspots schleppe.
Quelle: KDE-Projekt über GamingOnLinux
*️⃣ Quelllink:
LTS-Versionen von Ubuntu, KDE-Projekt , GamingOnLinux ,