Късен разговор в WhatsApp разкри тревожна уязвимост в сигурността

Лягнах си рано, така че на следващата сутрин взех телефона си, отворих WhatsApp и се прехвърлих назад, за да видя какво съм пропуснал.

Но вместо да се потопя направо в разговора, ме посрещна запитване на пълен екран, което ме молеше да въведа PIN кода си за двуетапна верификация — функция, която бях активирал преди месеци за допълнителна сигурност. Засега всичко е наред, но можете ли да откриете проблема?

Това е функция за сигурност, която пази чатовете ми лични, така защо има икона за затваряне? Това е лош избор на UI дизайн и съм работил с достатъчно дизайнери, за да знам, че добър такъв би го забелязал, а ако не — добър разработчик трябва да го е хванал. Какво се е объркало в Meta?

Без да мисля, докоснах "X" в горния десен ъгъл на екрана. Предположих, че ще отмени процеса на вход или може би ще ме върне към предишния екран — беше инстинктивно, нещо, което съм правил в безброй други приложения. Но това, което се случи след това, ме изненада напълно: диалоговият прозорец просто изчезна и бях хвърлен направо в приложението, сякаш допълнителният слой за сигурност изобщо не съществуваше.

В началото не бях сигурен какво се беше случило. Дали приложението тихо провери самоличността ми по някакъв друг начин? Заключих WhatsApp, отворих го отново и тествах пак. Същият резултат: "X" отменя запитването за PIN и предоставя пълен достъп. С едно докосване заобиколих собствената си двуетапна верификация и компрометирах самата функция, за която мислех, че защитава акаунта ми.

Това, което трябваше да бъде стена, беше просто врата, оставена приоткрита

Когато осъзнах какво току-що се беше случило, ме обзе потискащо чувство. Това не беше неясен бъг или скрита настройка — беше част от стандартния поток. WhatsApp пита за PIN кода ми, но после ми подава пътека за бягство. Този "X" не е учтивост; това е фатална грешка в логиката.

Двуетапната верификация трябва да бъде твърда бариера, предотвратяваща неоторизиран достъп. Тук се третира като предложение. И това е UX решение с реални последици за сигурността.

Защо това има значение сега повече от всякога

Само по себе си този недоглед е притеснителен. Но това се случва точно когато Meta натиска изкуствения си интелект по-дълбоко в WhatsApp — въвежда чатботове, AI-предложени отговори и интелигентни функции за търсене, които засягат най-личните аспекти на нашите комуникации. Колкото повече AI се вплита в структурата на приложението, толкова по-високи стават залозите за поверителност и сигурност.

Когато AI асистент в приложението ви за съобщения може да ви подтикне да споделите информация, той разчита на основа от доверие и стабилни контроли. Ако самата мярка, предназначена да спре неоторизирания вход, може да бъде отхвърлена с докосване, какво говори това за ангажимента на приложението да защити данните ви?

Дизайнерските избори отразяват приоритетите

Като някой, който професионално преглежда интерфейси, знам, че нищо в продукт като WhatsApp не се случва случайно. Ако има "X", някой го е проектирал. Ако докосването на този "X" заобикаля сигурността, някой го е одобрил. Този избор — умишлен или пропуснат — изпраща ясно послание: лекотата на използване се приоритизира пред сигурността в момент, когато не би трябвало да бъде.

Милиони потребители активират двуетапна верификация, вярвайки, че тя ще заключи сигурно акаунта им. Когато това доверие се наруши, не става въпрос само за няколко технически подготвени потребители, които забелязват недостатък — това подкопава увереността за всички.

Тих прецедент

В момента това е отхвърляемо запитване за PIN. Утре може да са AI-управлявани подтици за споделяне на повече данни или автоматизирани функции, които се промъкват под радара. Всеки път, когато функция за сигурност се третира като незадължителна, създаваме прецедент функциите за поверителност да бъдат предмет на договаряне, а не задължителни.

Не е алармистично да се каже, че начинът, по който се внедрява сигурността днес, оформя бъдещето на цифровата поверителност. Ако Meta не може да осигури основен PIN екран в WhatsApp, как можем да му вярваме с по-дълбок AI-задвижван достъп до най-личните ни разговори?

Заключителни мисли и призив за действие

Не се заех да разкрия недостатък в сигурността, когато взех телефона си, за да наваксам чата. Но това едно докосване — отхвърли, влез, получи достъп — промени възгледа ми за модела на сигурност на WhatsApp. И ме остави да се чудя: ако критична проверка за двуетапна верификация може да бъде заобиколена толкова лесно, какви други защити тихо се размиват?

И да не забравяме, че Meta "по онова време Facebook" добави код в приложенията си на един етап, за да вземе всички данни от обажданията и SMS съобщенията ви. Добре, използваха разрешения, за да го активират, но повечето хора се съгласиха с това, без да знаят, че са го направили, или без да се чудят защо корпорация би искала да вземе личната им информация. С Meta сега поставящо AI в приложението WhatsApp с възможността да извлича данни от всичките ви чатове. Въпрос е само на време правителствата да кажат на Meta да извлече всички данни на телефона за конкретен индивид или група хора.