Gli sviluppatori di KDE Connect hanno pubblicato un bollettino di sicurezza riguardante una vulnerabilità nel protocollo introdotto con la versione 8. Il problema consente a un attaccante di aggirare completamente l’autenticazione attraverso la manipolazione dei pacchetti di rete. La falla è stata catalogata con l’identificativo CVE-2025-66270 e riguarda non solo il client desktop, ma anche implementazioni come GSConnect, Valent e le app mobili per Android e iOS.
Il difetto risiede nel processo di rilevamento dei dispositivi in rete. La nuova versione del protocollo prevede uno scambio aggiuntivo di pacchetti tra le parti, ma non verifica correttamente la corrispondenza degli identificatori dei dispositivi. Questo permette a un malintenzionato di spacciarsi per un device fidato, ottenendo accesso alle funzionalità di KDE Connect senza autenticazione. L’attacco si articola in due fasi: prima l’invio di un identificatore di un dispositivo non accoppiato, poi la sostituzione con quello di un dispositivo già autorizzato. L’assenza di controlli incrociati rende l’attacco efficace.
Secondo il bollettino, sono vulnerabili le versioni di KDE Connect rilasciate tra aprile e dicembre 2025, oltre alle release di GSConnect comprese tra la 59 e la 68 e Valent tra alpha.47 e alpha.49. Anche le app mobili sono coinvolte: su Android dalla 1.33.0 alla 1.34.4 e su iOS dalla 0.5.2 alla 0.5.4. Questo amplia notevolmente la platea di utenti esposti al rischio.
Gli sviluppatori KDE invitano gli utenti a sospendere temporaneamente l’uso di KDE Connect fino al rilascio delle patch da parte delle distribuzioni Linux. Chi possiede competenze avanzate può applicare manualmente le correzioni, ma la soluzione più sicura resta attendere gli aggiornamenti ufficiali. La vulnerabilità dimostra quanto sia importante mantenere aggiornati i sistemi e monitorare i bollettini di sicurezza, soprattutto per strumenti che gestiscono comunicazioni e trasferimenti di file tra dispositivi.
La scoperta di questa falla in KDE Connect evidenzia i rischi legati all’evoluzione dei protocolli di comunicazione. Sebbene l’applicazione resti uno strumento prezioso per integrare smartphone e PC, è fondamentale adottare misure di prudenza e aggiornare tempestivamente. La comunità KDE ha già avviato il processo di correzione, confermando l’impegno nel garantire un ecosistema sicuro e affidabile.
