แพลตฟอร์มส่งข้อความ WhatsApp ได้เปิดตัว Identity Proof Linked Storage (IPLS) ซึ่งเป็นระบบจัดเก็บข้อมูลเข้ารหัสที่รักษาความเป็นส่วนตัวรูปแบบใหม่ ที่ได้รับการออกแบบมาสำหรับการจัดการรายชื่อผู้ติดต่อ
ระบบใหม่นี้ช่วยแก้ปัญหาสองประการที่ผู้ใช้ WhatsApp เผชิญมายาวนาน นั่นคือความเสี่ยงในการสูญเสียรายชื่อผู้ติดต่อหากทำโทรศัพท์หาย และไม่สามารถซิงค์ข้อมูลรายชื่อผู้ติดต่อระหว่างอุปกรณ์ต่าง ๆ ได้ ด้วย IPLS รายชื่อผู้ติดต่อของ WhatsApp จะเชื่อมโยงกับบัญชีแทนที่จะเป็นอุปกรณ์ ทำให้ผู้ใช้สามารถจัดการรายชื่อผู้ติดต่อได้อย่างง่ายดายระหว่างการเปลี่ยนอุปกรณ์
นอกจากนี้ IPLS ยังทำให้สามารถจัดการรายชื่อผู้ติดต่อที่แตกต่างกันสำหรับบัญชีต่าง ๆ หลายบัญชีบนอุปกรณ์เดียวกันได้ โดยแต่ละบัญชีได้รับการจัดการอย่างปลอดภัย และแยกออกจากบัญชีอื่น ๆ
ระบบเข้ารหัสที่ปลอดภัย
IPLS รักษาความปลอดภัยด้วยการผสมผสานการเข้ารหัส, ความโปร่งใสของคีย์ และการใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) และเมื่อเพิ่มผู้ติดต่อใหม่ ชื่อจะถูกเข้ารหัสโดยใช้คีย์เข้ารหัสแบบ symmetric ที่สร้างขึ้นบนอุปกรณ์ของผู้ใช้ และจัดเก็บไว้ใน Key Vault ป้องกันการเข้าถึงที่ใช้ HSM ของ WhatsApp
เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ใหม่ เซสชันที่ปลอดภัยโดยใช้ Key Vault ที่ใช้ HSM จะถูกสร้างขึ้นเพื่อดึงข้อมูลผู้ติดต่อใหม่โดยดำเนินการตรวจสอบสิทธิ์โดยใช้ keypair เข้ารหัสที่เชื่อมโยงกับบัญชีผู้ใช้ (สร้างขึ้นเมื่อลงทะเบียน)
IPLS รับประกันว่าข้อมูลผู้ติดต่อทั้งหมดได้รับการเข้ารหัสแบบ end-to-end ซึ่งหมายความว่าข้อมูลผู้ติดต่อได้รับการเข้ารหัสบนอุปกรณ์ของผู้ใช้ และยังคงได้รับการเข้ารหัสในขณะที่ข้อมูลเคลื่อนผ่านระบบของ WhatsApp ซึ่งป้องกันการดักจับระหว่างการส่ง หรือการเข้าถึงจากพนักงาน Meta ที่ไม่ปลอดภัย
WhatsApp ยังจับมือเป็นพันธมิตรกับ Cloudflare ในการตรวจสอบการดำเนินการเข้ารหัสโดย third-party ได้อย่างอิสระ โดยเฉพาะอย่างยิ่งเพื่อทำหน้าที่เป็นผู้รับประกันการอัปเดตใน Auditable Key Directory (AKD) โดย signing ในแต่ละแบบ และตรวจสอบว่าข้อมูลนั้นไม่ได้ถูกดัดแปลงใด ๆ
WhatsApp เผยแพร่หลักฐานความสอดคล้องที่ตรวจสอบได้สำหรับการอัปเดตไดเร็กทอรีหลัก ไปยังอินสแตนซ์ Amazon S3 ที่สามารถเข้าถึงได้จากสาธารณะ ช่วยให้ผู้ใช้งาน, นักวิจัย และผู้ตรวจสอบสามารถตรวจสอบความสมบูรณ์ของ AKD ได้อย่างอิสระ
ก่อนที่ IPLS และกลไกพื้นฐานจะถูกนำเสนอต่อสาธารณะ WhatsApp ได้ทำสัญญากับ NCC Group เพื่อทำการตรวจสอบความปลอดภัยในระบบใหม่
การค้นพบที่สำคัญที่สุดของการตรวจสอบดังกล่าวคือช่องโหว่ที่ทำให้สามารถปลอมแปลง HSM ของ Marvell และถอดรหัสข้อมูล secret key ของผู้ใช้ได้ ซึ่งอาจทำให้ข้อมูลเมตาของผู้ติดต่อส่วนตัวถูกเปิดเผย
WhatsApp แก้ไขปัญหานี้พร้อมกับช่องโหว่ 12 รายการที่ได้รับการประเมินว่ามีระดับความรุนแรงระดับต่ำจนถึงปานกลางในเดือนกันยายน 2024 ดังนั้นจึงไม่มีอยู่ในรุ่นสุดท้ายของ IPLS
ที่มา : bleepingcomputer.