Vulnerabilidad en Meshtastic-Android (CVE-2025-52883)

Meshtastic-Android es una aplicación Android para el software de radio en malla Meshtastic. Antes de la versión 2.5.21, un atacante podía enviar un mensaje directo sin cifrar a una víctima haciéndose pasar por cualquier otro nodo de la malla. Este mensaje se mostraba en el mismo chat en el que la víctima se comunicaba normalmente con el otro nodo y aparentaba usar PKC, aunque no lo era. Esto significa que la víctima se sentiría insegura debido al candado verde que se muestra al usar PKC y que interpretaría el mensaje del atacante como legítimo. La versión 2.5.21 incluye una solución para este problema. Se recomienda implementar un control más estricto sobre si un mensaje se recibió usando PKC o la clave de canal compartida de Meshtastic. Además, en lugar de no mostrar el icono del candado verde en el chat sin PKC, considere usar un indicador explícito como, por ejemplo, el candado amarillo entreabierto que se muestra en modo HAM. Sin embargo, esta solución se aplica a las aplicaciones cliente, no al firmware de Meshtastic.