Sgwrs hwyr nos ar WhatsApp yn datgelu diffyg diogelwch pryderus

Roeddwn wedi mynd i'r gwely'n gynnar, felly y bore wedyn dyma fi'n cydio yn fy ffôn, agor WhatsApp, a sgrolio'n ôl i weld beth roeddwn wedi'i golli.

Ond yn hytrach na phlymu'n syth i mewn i'r sgwrs, cefais fy nghyfarch gan anogwr sgrin lawn yn gofyn am fy PIN dilysu dau gam—nodwedd roeddwn wedi'i galluogi fisoedd yn ôl ar gyfer diogelwch ychwanegol. Hyd yn hyn, popeth yn iawn ond allwch chi weld y broblem?

Mae hon yn nodwedd ddiogelwch i gadw fy sgyrsiau'n breifat felly pam mae yna eicon cau? Mae hon yn benderfyniad dylunio UI gwael ac rwyf wedi gweithio gyda digon o ddylunwyr i wybod y byddai un da wedi sylwi ar hyn ac os na fuasen nhw, yna dylai datblygwr da fod wedi dal hyn. Beth aeth o'i le yn Meta?

Heb feddwl, dyma fi'n tapio'r "X" yng nghornel uchaf dde'r sgrin. Tybiais y byddai'n canslo'r llif mewngofnodi neu efallai'n fy anfon yn ôl i'r sgrin flaenorol—roedd yn reddfol, rhywbeth roeddwn wedi'i wneud mewn apiau dirifedi eraill. Ond yr hyn ddigwyddodd nesaf a'm daliodd yn gwbl annisgwyl: diflannodd y deialog yn syml, a chefais fy ngollwng yn syth i mewn i'r ap fel pe na bai'r haen ychwanegol o ddiogelwch yn bodoli o gwbl.

Ar y dechrau, doeddwn i ddim yn siŵr beth oedd wedi digwydd. Oedd yr ap wedi dilysu fy hunaniaeth yn dawel mewn rhyw ffordd arall? Clois WhatsApp, ei ailagor, a phrofi eto. Yr un canlyniad: mae'r "X" yn canslo'r anogwr PIN ac yn rhoi mynediad llawn. Gydag un tap, roeddwn wedi osgoi fy nilysu dau gam fy hun a chyfaddawdu'r union nodwedd roeddwn i'n meddwl oedd yn amddiffyn fy nghyfrif.

Yr hyn ddylai fod wedi bod yn wal oedd dim ond drws wedi'i adael yn gilagored

Unwaith y sylweddolais beth oedd newydd ddigwydd, trawyd fi gan deimlad suddo. Nid nam cudd neu osodiad cudd oedd hwn—roedd yn rhan o'r llif diofyn. Mae WhatsApp yn gofyn am fy PIN, ond yna'n rhoi ffordd ddianc i mi. Nid cwrteisi yw'r "X" hwnnw; mae'n nam angheuol yn y rhesymeg.

Dylai dilysu dau gam fod yn rhwystr cadarn sy'n atal mynediad anawdurdodedig. Yma, mae'n cael ei drin fel awgrym. A dyna benderfyniad UX gyda chanlyniadau diogelwch gwirioneddol.

Pam mae hyn yn bwysicach nawr nag erioed

Ynddo'i hun, mae'r esgeulustod hwn yn bryderu. Ond mae'n digwydd yn union wrth i Meta wthio ei AI yn ddyfnach i WhatsApp—cyflwyno chatbots, atebion wedi'u hawgrymu gan AI, a nodweddion chwilio deallus sy'n cyffwrdd ag agweddau mwyaf personol ein cyfathrebu. Po fwyaf y mae AI yn cael ei weu i mewn i ffabrig ap, y mwyaf y mae'r cyflog yn dod ar gyfer preifatrwydd a diogelwch.

Pan all cynorthwyydd AI yn eich ap negeseuon eich annog i rannu gwybodaeth, mae'n dibynnu ar sylfaen o ymddiriedaeth a rheolyddion cadarn. Os gellir cael gwared ar yr union fesur a ddyluniwyd i atal mynediad anawdurdodedig gydag un tap, beth mae hynny'n ei ddweud am ymrwymiad yr ap i amddiffyn eich data?

Mae dewisiadau dylunio yn adlewyrchu blaenoriaethau

Fel rhywun sy'n adolygu rhyngwynebau'n broffesiynol, gwn nad yw dim mewn cynnyrch fel WhatsApp yn digwydd drwy ddamwain. Os oes "X", mae rhywun wedi'i ddylunio. Os yw tapio'r "X" hwnnw'n osgoi diogelwch, mae rhywun wedi arwyddo arno. Mae'r dewis hwnnw—boed yn fwriadol neu'n ddiofal—yn anfon neges glir: mae defnyddioldeb yn cael ei flaenoriaethu dros ddiogelwch ar adeg pan na ddylai fod.

Mae miliynau o ddefnyddwyr yn galluogi dilysu dau gam gan gredu y bydd yn cloi eu cyfrif yn ddiogel. Pan gaiff yr ymddiriedaeth honno ei thorri, nid mater o ychydig o ddefnyddwyr technoleg-fedrus yn sylwi ar nam yw—mae'n erydu hyder i bawb.

Cynsail dawel

Ar hyn o bryd, mae'n anogwr PIN y gellir ei wrthod. Yfory, gallai fod yn symbyliadau wedi'u gyrru gan AI i rannu mwy o ddata neu nodweddion awtomatig sy'n llithro o dan y radar. Bob tro y mae nodwedd ddiogelwch yn cael ei thrin fel un ddewisol, rydym yn gosod cynsail ar gyfer nodweddion preifatrwydd sy'n negodi yn hytrach na gorfodol.

Nid yw'n alarmaidd dweud bod y ffordd y mae diogelwch yn cael ei weithredu heddiw yn siapio dyfodol preifatrwydd digidol. Os na all Meta sicrhau sgrin PIN sylfaenol yn WhatsApp, sut gallwn ni ymddiried ynddo gyda mynediad AI dwyfach i'n sgyrsiau mwyaf preifat?

Myfyrdodau terfynol a galwad i weithredu

Nid oeddwn yn bwriadu datgelu nam diogelwch pan godais fy ffôn i ddal i fyny â sgwrs. Ond newidiodd y tap hwnnw—gwrthod, mynd i mewn, mynediad—fy ngolwg ar fodel diogelwch WhatsApp. A gadawodd fi'n meddwl: os gellir osgoi gwiriad dilysu dau gam critigol mor hawdd, pa amddiffyniadau eraill sy'n cael eu herydu'n dawel?

A gadewch i ni beidio ag anghofio bod Meta "ar y pryd Facebook" wedi ychwanegu cod i'w hapiau ar un cam i gymryd eich holl ddata galwadau a negeseuon SMS. Iawn, defnyddion nhw ganiatâd i'w alluogi ond dewisiodd y rhan fwyaf o bobl mewn i hynny heb wybod eu bod wedi gwneud neu'n rhyfeddu pam y byddai corfforaeth eisiau cymryd eu gwybodaeth bersonol. Gyda Meta nawr yn rhoi AI yn yr ap WhatsApp gyda'r gallu i gloddio data o'ch holl sgyrsiau. Dim ond mater o amser yw hi cyn bod llywodraethau'n dweud wrth Meta i dynnu'r holl ddata ar y ffôn ar gyfer unigolyn penodol neu grŵp o bobl.