Segurança digital

WhatsApp protege contatos com criptografia avançada

WhatsApp lança sistema IPLS, garantindo criptografia de ponta a ponta para o armazenamento e sincronia de contatos entre dispositivos.

Imagem com a logomarca do WhatsApp

O WhatsApp acaba de lançar o sistema Identity Proof Linked Storage (IPLS), uma nova solução de armazenamento criptografado voltada para a gestão de contatos. Esse recurso inovador busca resolver problemas antigos enfrentados pelos usuários, como a perda de listas de contatos ao trocar de dispositivo e a dificuldade de sincronização entre aparelhos.

Com a implementação do IPLS, as listas de contatos do WhatsApp passam a ser vinculadas diretamente à conta do usuário, e não ao dispositivo, facilitando o gerenciamento e a transferência de contatos durante trocas ou substituições de aparelhos.

Sincronização segura e criptografada no WhatsApp

O IPLS proporciona uma gestão segura das informações de contato, utilizando uma combinação de criptografia, transparência de chaves e módulos de segurança por hardware (HSM). Quando um contato é adicionado, seu nome é criptografado com uma chave simétrica gerada no dispositivo do usuário e armazenada no Key Vault baseado em HSM do WhatsApp, que é resistente a violações.

Visão geral da segurança IPLS
Visão geral da segurança IPLS Imagem: Meta

Ao iniciar sessão em um novo dispositivo, o WhatsApp estabelece uma conexão segura com o Key Vault, permitindo o acesso aos contatos mediante uma ação de autenticação usando o par de chaves criptográficas vinculadas à conta do usuário, criado durante o registro.

Segurança e auditoria independentes

Além disso, o IPLS garante que todas as informações de contato são criptografadas de ponta a ponta, impedindo que dados sejam interceptados em trânsito ou acessados indevidamente por funcionários da Meta.

Para garantir ainda mais segurança, o WhatsApp firmou parceria com a Cloudflare para auditar suas operações criptográficas de forma independente, validando a integridade do diretório de chaves. A empresa publica provas de consistência auditáveis das atualizações desse diretório, disponíveis em uma instância pública da Amazon S3, permitindo que pesquisadores e auditores independentes verifiquem a segurança do sistema.

Auditoria e correções antes do lançamento

Antes da introdução pública do IPLS, o WhatsApp contratou o NCC Group para auditar o novo sistema. Durante o processo, uma falha crítica foi descoberta, permitindo a potencial descriptografia de materiais secretos dos usuários. No entanto, esse problema e outras 12 falhas de menor severidade foram corrigidos em setembro de 2024, garantindo a segurança total na versão final do IPLS.

Acesse a versão completa
Sair da versão mobile