O WhatsApp acaba de lançar o sistema Identity Proof Linked Storage (IPLS), uma nova solução de armazenamento criptografado voltada para a gestão de contatos. Esse recurso inovador busca resolver problemas antigos enfrentados pelos usuários, como a perda de listas de contatos ao trocar de dispositivo e a dificuldade de sincronização entre aparelhos.
Com a implementação do IPLS, as listas de contatos do WhatsApp passam a ser vinculadas diretamente à conta do usuário, e não ao dispositivo, facilitando o gerenciamento e a transferência de contatos durante trocas ou substituições de aparelhos.
Sincronização segura e criptografada no WhatsApp
O IPLS proporciona uma gestão segura das informações de contato, utilizando uma combinação de criptografia, transparência de chaves e módulos de segurança por hardware (HSM). Quando um contato é adicionado, seu nome é criptografado com uma chave simétrica gerada no dispositivo do usuário e armazenada no Key Vault baseado em HSM do WhatsApp, que é resistente a violações.
Ao iniciar sessão em um novo dispositivo, o WhatsApp estabelece uma conexão segura com o Key Vault, permitindo o acesso aos contatos mediante uma ação de autenticação usando o par de chaves criptográficas vinculadas à conta do usuário, criado durante o registro.
Segurança e auditoria independentes
Além disso, o IPLS garante que todas as informações de contato são criptografadas de ponta a ponta, impedindo que dados sejam interceptados em trânsito ou acessados indevidamente por funcionários da Meta.
Para garantir ainda mais segurança, o WhatsApp firmou parceria com a Cloudflare para auditar suas operações criptográficas de forma independente, validando a integridade do diretório de chaves. A empresa publica provas de consistência auditáveis das atualizações desse diretório, disponíveis em uma instância pública da Amazon S3, permitindo que pesquisadores e auditores independentes verifiquem a segurança do sistema.
Auditoria e correções antes do lançamento
Antes da introdução pública do IPLS, o WhatsApp contratou o NCC Group para auditar o novo sistema. Durante o processo, uma falha crítica foi descoberta, permitindo a potencial descriptografia de materiais secretos dos usuários. No entanto, esse problema e outras 12 falhas de menor severidade foram corrigidos em setembro de 2024, garantindo a segurança total na versão final do IPLS.