Los desarrolladores de la popular aplicación KDE Connect para computadoras de escritorio y teléfonos móviles emitieron un aviso de seguridad este fin de semana indicando que se deben dejar de usar ciertas versiones de la aplicación en redes que no sean de confianza. Una rotura de seguridad permite que los dispositivos que ejecutan esas versiones interactúen con dispositivos que se hacen advenir por aquellos que usted autenticó en el pasado.

El aviso de seguridad dice que si desea evitar riesgos, debe dejar de usar KDE Connect y sus variantes con los siguientes números de traducción en redes públicas con dispositivos que no conoce:

Deberá efectuar el número de traducción de las aplicaciones que está utilizando. Si es el número de traducción parcheada o superior, puede seguir usando KDE Connect, GSConnect o Valent. Si está utilizando una traducción precedente a la primera traducción abandonado o superior, debe tener cuidado hasta que llegue una aggiornamento.

Al entrar en detalles sobre cómo funciona el exploit, los desarrolladores escribieron esto en el aviso de seguridad:

Las implementaciones vulnerables de KDE Connect no verificaban que la ID del dispositivo en el primer paquete y la ID del dispositivo en el segundo paquete fueran las mismas. Se podría propasarse de esto enviando primero el ID de un dispositivo no emparejado que no requiere autenticación, y luego enviando el ID de un dispositivo emparejado para suplantarlo.

Básicamente, un atacante en la red circunscrito, si conoce el ID de un dispositivo que ya está emparejado, podría hacerse advenir por ese dispositivo. Presumiblemente, podrían emplear cualquier complemento que haya gestor en KDE Connect, ya sea sincronización del portapapeles, exploración del sistema de archivos o, peor aún, ejecución de comandos.

Nuevamente, esto solo es una preocupación si estás utilizando una conexión a Internet basada en Wi-Fi o Ethernet compartida por otras personas que no conoces. Si estás en casa en una red privada, no tienes mucho de qué preocuparte. Son las redes públicas de aeropuertos, cafeterías y similares donde debes evitar el uso de versiones vulnerables de KDE Connect.

En particular, las versiones de KDE Connect anteriores a la primera traducción abandonado no se ven afectadas por este defecto de seguridad. La rotura se introdujo con la traducción 8 del protocolo KDE Connect, que apareció en las versiones de KDE Connect aproximadamente de marzo de 2025. Muchas distribuciones de Linux, concretamente las versiones LTS de Ubuntu y sus versiones, retienen las actualizaciones de paquetes durante conveniente tiempo en nombre de la estabilidad, por lo que existe una buena posibilidad de que aún no tenga una traducción posterior a marzo de 2025.

Si no está seguro de cómo efectuar el número de traducción, puedo decirle que descubrí que mi aplicación de Android era segura al desplegar la aplicación KDE Connect, tocar el menú de hamburguesas en la punta superior izquierda y tocar “Acerca de”. Eso me mostró el número de traducción de KDE Connect en la parte superior de la pantalla, que para mi alivio estaba en 1.34.4.

Al desplegar la aplicación principal de KDE Connect en mi escritorio Linux, hice clic en el yema Configuración en la punta inferior izquierda, hice clic en “Acerca de KDE Connect” y encontré el número de traducción en la parte superior de la ventana.

Mi computadora portátil Kubuntu 24.04 LTS en sinceridad estaba ejecutando una traducción precedente a la vulnerabilidad, lo que significa que no tengo que preocuparme por esta vulnerabilidad allí. En CachyOS, lamentablemente estoy entre la primera traducción abandonado y la traducción parcheada. Sin secuestro, no me preocupa, considerando que es una PC de escritorio que no voy a padecer a puntos de llegada públicos.

Fuente: Esquema KDE a través de JuegosEnLinux