Vulnerabilidad en matrix-android-sdk2 (CVE-2022-39246)

matrix-android-sdk2 es el SDK de Matrix para Android. En versiones anteriores a 1.5.1, un atacante que coopere con un servidor doméstico malicioso puede construir mensajes que parezcan proceder de otra persona. Dichos mensajes estarán marcados con un escudo gris en algunas plataformas, pero éste puede faltar en otras. Este ataque es posible debido a una estrategia de reenvío de claves implementada en el matrix-android-sdk2 que es demasiado permisiva. A partir de la versión 1.5.1, la política por defecto para aceptar reenvíos de claves es hecho más estricta en matrix-android-sdk2. El matrix-android-sdk2 ahora sólo aceptará claves reenviadas en respuesta a peticiones previamente emitidas y sólo de dispositivos propios y verificados. El SDK ahora establece un flag de "trusted" en el mensaje descifrado al descifrarlo, basándose en si la clave usada para descifrar el mensaje fue recibida de una fuente confiable. Los clientes deben asegurarse de que los mensajes descifrados con una clave con "trusted = false" sean decorados apropiadamente (por ejemplo, mostrando una advertencia para tales mensajes). Como mitigación, los usuarios actuales del SDK pueden deshabilitar el reenvío de claves en sus forks usando "CryptoService#enableKeyGossiping(enable: Boolean)"