A plataforma de mensagens WhatsApp introduziu o Storage Linked à Prova de Identidade (IPLS), um novo sistema de armazenamento criptografado que preserva a privacidade, projetado para o gerenciamento de contatos.
O novo sistema resolve dois problemas crônicos com os quais os usuários do WhatsApp têm lidado por anos: o risco de perder suas listas de contatos caso percam o telefone e a incapacidade de sincronizar contatos entre dispositivos diferentes.
Com o IPLS, as listas de contatos no WhatsApp agora estarão vinculadas à conta, em vez do dispositivo, permitindo que os usuários as gerenciem facilmente entre mudanças ou substituições de dispositivos.
Além disso, o IPLS possibilita manter diferentes listas de contatos para várias contas no mesmo dispositivo, cada uma gerida de forma segura e isolada das demais.
O IPLS alcança segurança através de uma combinação de criptografia, transparência de chaves e o uso de Módulos de Segurança de Hardware (HSMs).
Quando um novo contato é adicionado, o nome é criptografado usando uma chave de criptografia simétrica gerada no dispositivo do usuário e armazenada no Key Vault à prova de violação baseado em HSM do WhatsApp.
Quando o usuário faz login em um novo dispositivo, uma sessão segura com o Key Vault baseado em HSM é estabelecida para recuperar o novo contato realizando uma ação de autenticação usando o par de chaves criptográficas vinculado à conta do usuário (criado no momento do registro).
O IPLS garante que todos os contatos sejam criptografados de ponta a ponta, o que significa que os dados de contato são criptografados no dispositivo do usuário e permanecem criptografados enquanto trafegam pelos sistemas do WhatsApp, prevenindo interceptações em trânsito ou acessos por funcionários mal-intencionados da Meta.
O WhatsApp também se associa à Cloudflare para auditoria independente de terceiros de suas operações criptográficas, especificamente, para atuar como um garantidor das atualizações do Diretório de Chaves Auditáveis (AKD), assinando cada época e validando que não houve manipulação.
O WhatsApp publica provas auditáveis de consistência para as atualizações do diretório de chaves (transições entre épocas) em uma instância pública acessível da Amazon S3, permitindo que usuários, pesquisadores e auditores verifiquem independentemente a integridade do AKD.
Antes mesmo de o IPLS e os mecanismos subjacentes serem apresentados ao público, o WhatsApp contratou o Grupo NCC para realizar uma auditoria de segurança no novo sistema.
A descoberta mais crítica dessa auditoria foi uma falha que permitia a personificação dos HSMs da Marvell e a decodificação do material de chave secreta dos usuários, potencialmente expondo metadados de contato privado.
Este problema, juntamente com 12 falhas classificadas de baixa a média gravidade, foram resolvidos pelo WhatsApp em setembro de 2024, de modo que não estão presentes no lançamento final do IPLS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...