Os desenvolvedores do popular aplicativo KDE Connect para computadores desktop e telefones celulares emitiram um comunicado de segurança neste fim de semana informando que você deve parar de usar certas versões do aplicativo em redes não confiáveis. Uma falha de segurança permite que dispositivos que executam essas versões interajam com dispositivos que fingem ser aqueles que você autenticou no passado.
O comunicado de segurança diz que se você quiser evitar riscos, você deve parar de usar o KDE Connect e suas variantes com os seguintes números de versão em redes públicas com dispositivos que você não conhece:
|
Aplicativo |
Primeira versão vulnerável |
Versão corrigida |
|---|---|---|
|
Área de trabalho do KDE Connect |
25.04 |
25.12 |
|
KDE Conecta iPhone |
0.5.2 |
0.5.4 |
|
KDE Conectar Android |
1.33.0 |
1.34.4 |
|
GSConnect |
59 |
68 |
|
Valente |
1.0.0.alfa.47 |
1.0.0.alfa.49 |
Você precisará verificar o número da versão dos aplicativos que está usando. Se for o número da versão corrigida ou superior, você poderá continuar usando o KDE Connect, GSConnect ou Valent. Se você estiver usando uma versão anterior ou superior à primeira versão vulnerável, tome cuidado até que uma atualização chegue.
Entrando em detalhes sobre como funciona a exploração, os desenvolvedores escreveram isto no comunicado de segurança:
As implementações vulneráveis do KDE Connect não verificavam se o ID do dispositivo no primeiro pacote e o ID do dispositivo no segundo pacote eram iguais. Isso pode ser abusado enviando primeiro um ID de dispositivo de um dispositivo não emparelhado que não requer autenticação, seguido pelo envio do ID de um dispositivo emparelhado para personificá-lo.
Essencialmente, um invasor na rede local, se souber o ID de um dispositivo que você já emparelhou, poderá fingir ser esse dispositivo. Eles poderiam então tirar vantagem de quaisquer plug-ins que você ativou no KDE Connect, seja sincronização da área de transferência, navegação no sistema de arquivos ou, pior ainda, execução de comandos.
Novamente, isso só é uma preocupação se você estiver usando uma conexão de Internet baseada em Wi-Fi ou Ethernet compartilhada por outras pessoas que você não conhece. Se você estiver em casa em uma rede privada, não terá muito com que se preocupar. São redes públicas em aeroportos, cafeterias e similares onde você deve evitar o uso de versões vulneráveis do KDE Connect.
Notavelmente, as versões do KDE Connect anteriores à primeira versão vulnerável não são afetadas por esta falha de segurança. A falha foi introduzida com o protocolo KDE Connect versão 8, que apareceu nos lançamentos do KDE Connect por volta de março de 2025. Muitas distribuições Linux, nomeadamente versões LTS do Ubuntu e seus sabores, atrasam as atualizações de pacotes por algum tempo em nome da estabilidade, então há uma boa chance de você ainda não ter um lançamento pós-março de 2025.
Se você não tiver certeza de como verificar o número da versão, posso dizer que descobri que meu aplicativo Android era seguro abrindo o aplicativo KDE Connect, tocando no menu de hambúrguer no canto superior esquerdo e tocando em “Sobre”. Isso me mostrou o número da versão do KDE Connect na parte superior da tela, que para meu alívio era 1.34.4.
Abrindo o aplicativo principal do KDE Connect em minha área de trabalho Linux, cliquei no botão Configurações no canto inferior esquerdo, cliquei em “Sobre o KDE Connect” e encontrei o número da versão no topo da janela.
Na verdade, meu laptop Kubuntu 24.04 LTS estava executando uma versão anterior à vulnerabilidade, o que significa que não preciso me preocupar com essa vulnerabilidade. No CachyOS, infelizmente estou entre a primeira versão vulnerável e a versão corrigida. Não estou preocupado com isso, considerando que é um PC de mesa que não estou carregando para pontos de acesso públicos.
Fonte: Projeto KDE via GamingOnLinux