Das KDE‑Projekt machte jetzt eine kritische Schwachstelle (CVE‑2025‑66270) in KDE Connect öffentlich, die es Angreifenden ermöglicht, sich als bereits gekoppeltes Gerät auszugeben und damit die Authentifizierung zu umgehen. Betroffen sind mehrere Versionen der Desktop‑, Android‑, iOS‑ und GNOME‑Erweiterungs‑Implementierungen sowie das Valent‑Framework.
Wie der Fehler funktioniert
Seit März 2025 nutzt KDE Connect das Protokoll‑Version 8, das bei der Geräte‑Entdeckung zwei Pakete austauscht. Das erste Paket prüft, ob ein Gegenüber bereits gekoppelt ist; das zweite Paket liefert die eindeutige Geräte‑ID. In den betroffenen Versionen wird nicht geprüft, ob beide IDs identisch sind. Ein Angreifer kann daher zuerst die ID eines nicht gekoppelten Geräts senden – das erfordert keine Authentifizierung – und anschließend die ID eines gekoppelten Geräts, um dieses zu imitieren.
Potenzielle Folgen
Kennt ein Angreifer die Geräte‑ID eines bereits verbundenen Geräts, kann er sich als dieses ausgeben und sämtliche Berechtigungen übernehmen, die dem legitimen Gerät zustehen. Das betrifft insbesondere sensible Daten, die über KDE Connect synchronisiert werden (z. B. Zwischenablage, Benachrichtigungen, Dateien).
Sofortmaßnahmen
Bis ein Patch ausgerollt ist, empfiehlt das KDE‑Projekt:
- KDE Connect in öffentlichen oder ungesicherten Netzwerken (Flughäfen, Konferenzen) zu deaktivieren.
- Alle bestehenden Kopplungen zu entfernen, um die Angriffsfläche zu reduzieren.
Langfristige Lösung
Die Entwickler haben bereits Fixes bereitgestellt. Nutzer sollten ihre KDE Connect‑Instanzen auf folgende Versionen aktualisieren:
- Desktop ≥ 25.12
- Android ≥ 1.34.4
- iOS ≥ 0.5.4
- GSConnect ≥ 68
- Valent ≥ v1.0.0.alpha.49