Vulnerabilidad en Matrix iOS SDK (CVE-2022-39257)

Matrix iOS SDK permite a los desarrolladores crear aplicaciones para iOS compatibles con Matrix. En versiones anteriores a 0.23.19, un atacante que colabore con un servidor doméstico malicioso puede construir mensajes que parezcan proceder de otra persona. Dichos mensajes estarán marcados con un escudo gris en algunas plataformas, pero éste puede faltar en otras. Este ataque es posible debido a que el matrix-ios-sdk implementa una estrategia de reenvío de claves demasiado permisiva. La política por defecto para aceptar reenvíos de claves se ha hecho más estricta en matrix-ios-sdk versión 0.23.19. matrix-ios-sdk ahora sólo aceptará claves reenviadas en respuesta a peticiones previamente emitidas y sólo desde dispositivos propios y verificados. El SDK ahora establece un flag "trusted" en el mensaje descifrado al descifrarlo, basándose en si la clave usada para descifrar el mensaje fue recibida de una fuente confiable. Los clientes deben asegurarse de que los mensajes descifrados con una clave con "trusted = false" sean decorados apropiadamente (por ejemplo, mostrando una advertencia para tales mensajes). Este ataque requiere la coordinación entre un servidor doméstico malicioso y un atacante, por lo que aquellos que confían en sus servidores domésticos no necesitan una mitigación