O WhatsApp lançou o Identity Proof Linked Storage (IPLS), um avançado sistema de armazenamento criptografado focado na privacidade, projetado para o gerenciamento seguro de contatos.
Com o IPLS, o WhatsApp resolve duas questões que preocupavam os usuários há anos: o risco de perder suas listas de contatos ao trocar de dispositivo e a dificuldade em sincronizá-las entre diferentes aparelhos.
Agora, as listas de contatos do WhatsApp ficam associadas à conta do usuário, em vez de serem limitadas ao dispositivo, permitindo fácil gerenciamento entre mudanças ou substituições de aparelhos. Além disso, o IPLS permite a criação e gestão segura de múltiplas listas de contatos para várias contas no mesmo dispositivo, mantendo-as separadas e protegidas.
Segurança Criptografada e Gestão Transparente de Chaves
A segurança do IPLS é garantida por uma combinação de criptografia, gestão transparente de chaves e módulos de segurança de hardware (HSMs).
Quando um novo contato é adicionado, seu nome é criptografado com uma chave simétrica gerada no dispositivo do usuário e armazenada de forma segura no Key Vault do WhatsApp, baseado em HSM. Ao acessar um novo dispositivo, o usuário estabelece uma conexão segura com o Key Vault para recuperar as informações do contato, utilizando um par de chaves criptográficas vinculado à conta do usuário.
O IPLS assegura que os contatos são criptografados de ponta a ponta, mantendo-os protegidos tanto no dispositivo do usuário quanto ao transitarem pelos sistemas do WhatsApp. Assim, qualquer tentativa de interceptação em trânsito ou acesso indevido por funcionários é impedida.
Auditorias Independentes para Garantia de Segurança
Para promover transparência, o WhatsApp firmou uma parceria com a Cloudflare, responsável por realizar auditorias independentes no sistema de chaves, incluindo verificações do Auditable Key Directory (AKD). A Cloudflare assina cada atualização do AKD, garantindo que a integridade dos dados seja preservada.
Essas atualizações são publicadas em um repositório Amazon S3 acessível ao público, permitindo que usuários, pesquisadores e auditores independentes verifiquem a integridade das transições de chave ao longo do tempo.
Antes do lançamento do IPLS, o WhatsApp também contratou o NCC Group para uma auditoria de segurança completa do sistema. A auditoria identificou uma vulnerabilidade crítica que permitia a personificação dos HSMs da Marvell, o que poderia expor metadados dos contatos. Esse problema, junto com outras 12 falhas de menor gravidade, foi solucionado em setembro de 2024, garantindo a segurança da versão final do IPLS.
Via - BC
Comments