Contents

これらのバージョンの KDE Con​​nect は悪用に対して脆弱です

Contents

<本文>/images/a-desktop-under-a-desk-with-some-plasma-windows-and-in-the-background-the-default-plasma-wallpaper-split-between-light-and-dark.jpg

デスクトップコンピュータや携帯電話向けの人気のあるKDE Connectアプリケーションの開発者は先週末、信頼できないネットワーク上では特定のバージョンのアプリケーションの使用を停止する必要があるとのセキュリティ勧告を発行した。セキュリティ上の欠陥により、これらのバージョンを実行しているデバイスが、過去に認証したデバイスになりすましたデバイスと通信することができます。

セキュリティ勧告では、リスクを回避したい場合は、未知のデバイスを使用するパブリック ネットワーク上で、次のバージョン番号を持つ KDE Connect とその亜種の使用を中止する必要があると述べています。

アプリ

|

最初の脆弱なバージョン

|

パッチ適用バージョン—|—|—KDE Connect デスクトップ

|

4月25日

|

12月25日

KDE コネクト iPhone

|

0.5.2

|

0.5.4

KDE コネクト Android

|

1.33.0

|

1.34.4

GSコネクト

|

59

|

68

ヴァレント

|

1.0.0α47

|

1.0.0α49

使用しているアプリのバージョン番号を確認する必要があります。パッチが適用されたバージョン番号以降であれば、KDE ​​Con​​nect、GSConnect、または Valent を引き続き使用しても問題ありません。最初の脆弱性のあるバージョン以上の以前のバージョンを使用している場合は、アップデートが到着するまで注意する必要があります。

このエクスプロイトがどのように機能するかについて詳しく説明すると、開発者はセキュリティ勧告に次のように書いています。

KDE Connect の脆弱な実装は、最初のパケットのデバイス ID と 2 番目のパケットのデバイス ID が同じであることをチェックしていませんでした。これは、最初に認証を必要としないペアリングされていないデバイスのデバイス ID を送信し、次にペアリングされたデバイスのデバイス ID を送信してなりすますことによって悪用される可能性があります。

基本的に、ローカル ネットワーク上の攻撃者は、すでにペアリングされているデバイスの ID を知っている場合、そのデバイスになりすます可能性があります。その後、クリップボードの同期、ファイル システムの参照、さらに悪いことにコマンドの実行など、KDE ​​Con​​nect で有効にしたプラグインを悪用する可能性があります。

繰り返しますが、これは、知らない人が共有する Wi-Fi またはイーサネット ベースのインターネット接続を使用している場合にのみ懸念されます。自宅でプライベート ネットワークに接続している場合は、あまり心配する必要はありません。空港やコーヒーショップなどの公共ネットワークでは、脆弱なバージョンの KDE Con​​nect の使用を避けるべきです。

特に、最初の脆弱性のあるバージョンより前の KDE Con​​nect のバージョンは、このセキュリティ上の欠陥の影響を受けません。この欠陥は、2025 年 3 月頃の KDE Con​​nect リリースで現れた KDE Con​​nect プロトコル バージョン 8 で導入されました。多くの Linux ディストリビューション、つまり LTS バージョンの Ubuntu とそのフレーバーは、安定性の名目でかなり長い間パッケージの更新を保留しているため、2025 年 3 月以降のリリースがまだない可能性が十分にあります。

バージョン番号の確認方法がわからない場合は、KDE ​​Con​​nect アプリを開いて左上隅のハンバーガー メニューをタップし、バージョン情報 をタップすることで、Android アプリが安全であることがわかりました。これにより、画面上部に KDE Con​​nect のバージョン番号が表示され、安心したことに 1.34.4 でした。

Linux デスクトップでメインの KDE Con​​nect アプリを開き、左下隅にある 設定 ボタンをクリックし、KDE Con​​nect について をクリックすると、ウィンドウの上部にバージョン番号が表示されます。

私の Kubuntu 24.04 LTS ラップトップは、実際にはこの脆弱性が発生する前のバージョンを実行していました。つまり、この脆弱性について心配する必要はありません。 CachyOS では、残念ながら、最初の脆弱性のあるバージョンとパッチが適用されたバージョンの間にいます。ただし、公共のホットスポットに持ち出すことのないデスクトップ PC であることを考えると、そのことについては心配していません。

出典: GamingOnLinux 経由の KDE プロジェクト

*️⃣ 出典リンク:

Ubuntu の LTS バージョン、 KDE プロジェクトGamingOnLinux