A plataforma de mensagens WhatsApp introduziu o Storage Linked à Prova de Identidade (IPLS), um novo sistema de armazenamento criptografado que preserva a privacidade, projetado para o gerenciamento de contatos.
O novo sistema resolve dois problemas crônicos com os quais os usuários do WhatsApp têm lidado por anos: o risco de perder suas listas de contatos caso percam o telefone e a incapacidade de sincronizar contatos entre dispositivos diferentes.
Com o IPLS, as listas de contatos no WhatsApp agora estarão vinculadas à conta, em vez do dispositivo, permitindo que os usuários as gerenciem facilmente entre mudanças ou substituições de dispositivos.
Além disso, o IPLS possibilita manter diferentes listas de contatos para várias contas no mesmo dispositivo, cada uma gerida de forma segura e isolada das demais.
O IPLS alcança segurança através de uma combinação de criptografia, transparência de chaves e o uso de Módulos de Segurança de Hardware (HSMs).
Quando um novo contato é adicionado, o nome é criptografado usando uma chave de criptografia simétrica gerada no dispositivo do usuário e armazenada no Key Vault à prova de violação baseado em HSM do WhatsApp.
Quando o usuário faz login em um novo dispositivo, uma sessão segura com o Key Vault baseado em HSM é estabelecida para recuperar o novo contato realizando uma ação de autenticação usando o par de chaves criptográficas vinculado à conta do usuário (criado no momento do registro).
O IPLS garante que todos os contatos sejam criptografados de ponta a ponta, o que significa que os dados de contato são criptografados no dispositivo do usuário e permanecem criptografados enquanto trafegam pelos sistemas do WhatsApp, prevenindo interceptações em trânsito ou acessos por funcionários mal-intencionados da Meta.
O WhatsApp também se associa à Cloudflare para auditoria independente de terceiros de suas operações criptográficas, especificamente, para atuar como um garantidor das atualizações do Diretório de Chaves Auditáveis (AKD), assinando cada época e validando que não houve manipulação.
O WhatsApp publica provas auditáveis de consistência para as atualizações do diretório de chaves (transições entre épocas) em uma instância pública acessível da Amazon S3, permitindo que usuários, pesquisadores e auditores verifiquem independentemente a integridade do AKD.
Antes mesmo de o IPLS e os mecanismos subjacentes serem apresentados ao público, o WhatsApp contratou o Grupo NCC para realizar uma auditoria de segurança no novo sistema.
A descoberta mais crítica dessa auditoria foi uma falha que permitia a personificação dos HSMs da Marvell e a decodificação do material de chave secreta dos usuários, potencialmente expondo metadados de contato privado.
Este problema, juntamente com 12 falhas classificadas de baixa a média gravidade, foram resolvidos pelo WhatsApp em setembro de 2024, de modo que não estão presentes no lançamento final do IPLS.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...