Μια αργή νυχτερινή συνομιλία στο WhatsApp αποκάλυψε ένα ανησυχητικό κενό ασφαλείας

Είχα πάει για ύπνο νωρίς, οπότε το πρωί πήρα το τηλέφωνό μου, άνοιξα το WhatsApp και κύλησα προς τα πίσω για να δω τι είχα χάσει.

Αλλά αντί να βουτήξω κατευθείαν στη συνομιλία, με υποδέχτηκε μια προτροπή πλήρους οθόνης που ζητούσε τον κωδικό PIN επαλήθευσης δύο βημάτων—μια λειτουργία που είχα ενεργοποιήσει μήνες πριν για επιπλέον ασφάλεια. Μέχρι στιγμής, όλα καλά, αλλά μπορείτε να εντοπίσετε το πρόβλημα;

Αυτή είναι μια λειτουργία ασφαλείας για να κρατήσω τις συνομιλίες μου ιδιωτικές, οπότε γιατί υπάρχει εικονίδιο κλεισίματος; Αυτή είναι μια κακή επιλογή σχεδιασμού UI και έχω εργαστεί με αρκετούς σχεδιαστές για να ξέρω ότι ένας καλός θα το είχε εντοπίσει και αν δεν το είχε κάνει, τότε ένας καλός προγραμματιστής θα έπρεπε να το είχε πιάσει. Τι πήγε στραβά στο Meta;

Χωρίς να σκεφτώ, πάτησα το "X" στη δεξιά επάνω γωνία της οθόνης. Υπέθεσα ότι θα ακύρωνε τη διαδικασία σύνδεσης ή ίσως θα με έστελνε πίσω στην προηγούμενη οθόνη—ήταν ενστικτώδες, κάτι που είχα κάνει σε αμέτρητες άλλες εφαρμογές. Αλλά αυτό που συνέβη στη συνέχεια με πήρε εντελώς απροετοίμαστο: ο διάλογος απλώς εξαφανίστηκε, και μπήκα κατευθείαν στην εφαρμογή σαν να μην υπήρχε καθόλου το επιπλέον επίπεδο ασφαλείας.

Στην αρχή, δεν ήμουν σίγουρος τι είχε συμβεί. Είχε επαληθεύσει η εφαρμογή σιωπηρά την ταυτότητά μου με κάποιον άλλο τρόπο; Κλείδωσα το WhatsApp, το ξανάνοιξα και δοκίμασα ξανά. Ίδιο αποτέλεσμα: το "X" ακυρώνει την προτροπή PIN και παρέχει πλήρη πρόσβαση. Με ένα πάτημα, είχα παρακάμψει τη δική μου επαλήθευση δύο βημάτων και συμβιβάσει ακριβώς τη λειτουργία που νόμιζα ότι προστάτευε τον λογαριασμό μου.

Αυτό που έπρεπε να είναι τοίχος ήταν απλώς μια πόρτα μισάνοιχτη

Μόλις συνειδητοποίησα τι μόλις είχε συμβεί, με κυρίευσε ένα αίσθημα απογοήτευσης. Αυτό δεν ήταν ένα σκοτεινό σφάλμα ή μια κρυφή ρύθμιση—ήταν μέρος της προεπιλεγμένης ροής. Το WhatsApp ζητάει τον κωδικό PIN μου, αλλά στη συνέχεια μου δίνει μια διέξοδο. Αυτό το "X" δεν είναι ευγένεια· είναι ένα μοιραίο ελάττωμα στη λογική.

Η επαλήθευση δύο βημάτων θα έπρεπε να είναι ένα σταθερό φράγμα που εμποδίζει τη μη εξουσιοδοτημένη πρόσβαση. Εδώ, αντιμετωπίζεται σαν πρόταση. Και αυτή είναι μια απόφαση UX με πραγματικές συνέπειες ασφαλείας.

Γιατί αυτό έχει μεγαλύτερη σημασία τώρα από ποτέ

Από μόνη της, αυτή η παραμέληση είναι ανησυχητική. Αλλά συμβαίνει ακριβώς καθώς η Meta σπρώχνει την τεχνητή νοημοσύνη της βαθύτερα στο WhatsApp—εισάγοντας chatbots, απαντήσεις που προτείνει η τεχνητή νοημοσύνη και έξυπνες λειτουργίες αναζήτησης που αγγίζουν τις πιο προσωπικές πτυχές των επικοινωνιών μας. Όσο περισσότερο η τεχνητή νοημοσύνη υφαίνεται στον ιστό μιας εφαρμογής, τόσο μεγαλύτερα γίνονται τα διακυβεύματα για την ιδιωτικότητα και την ασφάλεια.

Όταν ένας βοηθός τεχνητής νοημοσύνης στην εφαρμογή μηνυμάτων σας μπορεί να σας παρακινήσει να μοιραστείτε πληροφορίες, βασίζεται σε μια βάση εμπιστοσύνης και ισχυρών ελέγχων. Αν το ίδιο το μέτρο που σχεδιάστηκε για να σταματήσει τη μη εξουσιοδοτημένη είσοδο μπορεί να απορριφθεί με ένα πάτημα, τι λέει αυτό για τη δέσμευση της εφαρμογής να προστατεύσει τα δεδομένα σας;

Οι επιλογές σχεδιασμού αντικατοπτρίζουν προτεραιότητες

Ως κάποιος που εξετάζει διεπαφές επαγγελματικά, ξέρω ότι τίποτα σε ένα προϊόν όπως το WhatsApp δεν συμβαίνει τυχαία. Αν υπάρχει ένα "X", κάποιος το σχεδίασε. Αν το πάτημα αυτού του "X" παρακάμπτει την ασφάλεια, κάποιος το ενέκρινε. Αυτή η επιλογή—είτε είναι σκόπιμη είτε παραβλέπεται—στέλνει ένα σαφές μήνυμα: η χρηστικότητα δίνεται προτεραιότητα έναντι της ασφάλειας σε μια στιγμή που δεν θα έπρεπε.

Εκατομμύρια χρήστες ενεργοποιούν την επαλήθευση δύο βημάτων πιστεύοντας ότι θα κλειδώσει τον λογαριασμό τους με ασφάλεια. Όταν αυτή η εμπιστοσύνη σπάει, δεν είναι απλώς θέμα λίγων τεχνολογικά καταρτισμένων χρηστών που παρατηρούν ένα ελάττωμα—διαβρώνει την εμπιστοσύνη για όλους.

Ένα σιωπηλό προηγούμενο

Αυτή τη στιγμή, είναι μια προτροπή PIN που μπορεί να απορριφθεί. Αύριο, θα μπορούσαν να είναι παρακινήσεις που οδηγούνται από τεχνητή νοημοσύνη για να μοιραστείτε περισσότερα δεδομένα ή αυτοματοποιημένες λειτουργίες που ξεφεύγουν από το ραντάρ. Κάθε φορά που μια λειτουργία ασφαλείας αντιμετωπίζεται ως προαιρετική, θέτουμε ένα προηγούμενο για τις λειτουργίες ιδιωτικότητας να είναι διαπραγματεύσιμες αντί για υποχρεωτικές.

Δεν είναι αλαρμιστικό να πούμε ότι ο τρόπος που εφαρμόζεται η ασφάλεια σήμερα διαμορφώνει το μέλλον της ψηφιακής ιδιωτικότητας. Αν η Meta δεν μπορεί να ασφαλίσει μια βασική οθόνη PIN στο WhatsApp, πώς μπορούμε να της εμπιστευτούμε βαθύτερη πρόσβαση που τροφοδοτείται από τεχνητή νοημοσύνη στις πιο ιδιωτικές μας συνομιλίες;

Τελικές σκέψεις και κάλεσμα για δράση

Δεν είχα σκοπό να αποκαλύψω ένα σφάλμα ασφαλείας όταν πήρα το τηλέφωνό μου για να προλάβω μια συνομιλία. Αλλά αυτό το ένα πάτημα—απόρριψη, είσοδος, πρόσβαση—άλλαξε την άποψή μου για το μοντέλο ασφαλείας του WhatsApp. Και με άφησε να αναρωτιέμαι: αν μια κρίσιμη επαλήθευση δύο βημάτων μπορεί να παρακαμφθεί τόσο εύκολα, ποιες άλλες προστασίες διαβρώνονται σιωπηρά;

Και ας μην ξεχνάμε ότι η Meta "τότε Facebook" πρόσθεσε κώδικα στις εφαρμογές της σε ένα στάδιο για να πάρει όλα τα δεδομένα κλήσεων και SMS μηνυμάτων σας. Εντάξει, χρησιμοποίησαν άδειες για να το ενεργοποιήσουν αλλά οι περισσότεροι άνθρωποι επέλεξαν αυτό χωρίς να ξέρουν ότι το είχαν κάνει ή να αναρωτιούνται γιατί μια εταιρεία θα ήθελε να πάρει τις προσωπικές τους πληροφορίες. Με τη Meta τώρα να βάζει τεχνητή νοημοσύνη στην εφαρμογή WhatsApp με τη δυνατότητα να εξορύσσει δεδομένα από όλες τις συνομιλίες σας. Είναι απλώς θέμα χρόνου πριν οι κυβερνήσεις πουν στη Meta να εξαγάγει όλα τα δεδομένα στο τηλέφωνο για ένα συγκεκριμένο άτομο ή μια ομάδα ανθρώπων.