WhatsApp Messenger platformu, iletişim yönetimi için tasarlanmış yeni bir gizliliği koruyan şifreli depolama sistemi olan Identity Prooft bağlantılı depolama (IPLS) tanıttı.
Yeni sistem, WhatsApp kullanıcılarının yıllardır uğraştığı iki uzun süredir devam eden problemi çözüyor, yani telefonlarını kaybettikleri takdirde iletişim listelerini kaybetme riski ve farklı cihazlar arasındaki kontakları senkronize edememe riski.
IPLS ile, WhatsApp kişi listeleri artık cihaz yerine hesaba bağlanarak kullanıcıların cihaz değişiklikleri veya değiştirmeler arasında kolayca yönetmelerine izin verecektir.
Ek olarak, IPLS, her biri güvenli bir şekilde yönetilen ve diğerlerinden izole edilen aynı cihazdaki birden fazla hesap için farklı iletişim listelerinin tutulmasını mümkün kılar.
IPLS, şifreleme, temel şeffaflık ve donanım güvenlik modüllerinin (HSMS) kullanılarak güvenliği elde eder.
Yeni bir kişi eklendiğinde, ad, kullanıcının cihazında oluşturulan ve WhatsApp'ın HSM tabanlı kurcalama dirençli anahtar kasasında saklanan simetrik bir şifreleme anahtarı kullanılarak şifrelenir.
Kullanıcı yeni bir cihazda oturum açtığında, kullanıcının hesabına bağlı kriptografik anahtar özü (kayıt üzerine oluşturuldu) kullanarak yeni bir kimlik doğrulama eylemi gerçekleştirerek yeni kişiyi almak için HSM tabanlı anahtar kasası ile güvenli bir oturum kurulur.
IPLS, tüm kontakların uçtan uca şifrelenmesini sağlar, yani iletişim verilerinin kullanıcının cihazında şifrelenmesi ve WhatsApp'ın sistemlerinde hareket ederken şifrelenmesi, Rogue Meta çalışanlarından geçiş veya erişimdeki müdahaleleri önler.
WhatsApp ayrıca, özellikle denetlenebilir anahtar dizine (AKD) güncellemelerin garantörü olarak hareket etmek, her bir dönemi imzalamak ve doğrulanmadığını doğrulamak için kriptografik operasyonlarının bağımsız üçüncü taraf denetimi için Cloudflare ile işbirliği yapmaktadır.
WhatsApp, anahtar dizinin güncellemeleri (dönemler arasındaki geçişler) için duyarlı tutarlılık kanıtları yayınlar ve halka açık bir Amazon S3 örneğine, kullanıcıların, araştırmacıların ve denetçilerin AKD'nin bütünlüğünü bağımsız olarak doğrulamasına izin verir.
IPL'ler ve altta yatan mekanizmalar halka bile sunulmadan önce, WhatsApp yeni sistemde bir güvenlik denetimi yapmak için NCC Grubuna sözleşme imzaladı.
Bu denetimin en kritik keşfi, Marvell HSM'lerinin taklit edilmesine ve kullanıcıların gizli anahtar materyalinin şifrelemesine izin veren ve potansiyel olarak özel temas meta verilerini ortaya çıkaran bir kusurdur.
Bu problem, düşük ila orta ciddiyet olarak derecelendirilen 12 kusurla birlikte Eylül 2024'te WhatsApp tarafından ele alındı, bu nedenle IPL'lerin son sürümünde mevcut değiller.
Milyonlarca tarafından kullanılan E2EE bulut depolama platformlarında şiddetli kusurlar
Discord, ses için uçtan uca şifreleme, görüntülü görüşmeler
AWS, Milyonlarca tarafından kullanılan Android ve iOS uygulamalarında bulunan Azure Auth Keys
Google Play'de 200'den fazla kötü amaçlı uygulama milyonlarca kez indirildi
Yeni tarayıcı, Cups RCE saldırılarına maruz kalan Unix sunucuları Linux'u bulur
Kaynak: Bleeping Computer