Myöhäinen WhatsApp-keskustelu paljasti huolestuttavan tietoturva-aukon

Olin mennyt nukkumaan aikaisin, joten seuraavana aamuna otin puhelimeni, avasin WhatsAppin ja selailin takaisinpäin nähdäkseni mitä olin jäänyt väliin.

Mutta sen sijaan että olisin sukeltanut suoraan keskusteluun, minut tervehti koko näytön viestikehotus, joka pyysi kaksivaihevarmennuksen PIN-koodiani—ominaisuus, jonka olin ottanut käyttöön kuukausia aiemmin lisäturvallisuuden vuoksi. Tähän asti kaikki hyvin, mutta huomaatko ongelman?

Tämä on turvaominaisuus, joka pitää keskusteluni yksityisinä, joten miksi siellä on sulkemisikoni? Tämä on huono käyttöliittymäsuunnittelun valinta ja olen työskennellyt tarpeeksi suunnittelijoiden kanssa tietääkseni, että hyvä suunnittelija olisi huomannut tämän ja jos ei, niin hyvän kehittäjän olisi pitänyt kiinnittää siihen huomiota. Mikä meni pieleen Metassa?

Miettimättä napautin "X":ää näytön oikeassa yläkulmassa. Oletin, että se peruuttaisi kirjautumisprosessin tai ehkä lähettäisi minut takaisin edelliselle näytölle—se oli vaistomaisessa, jotain mitä olin tehnyt lukemattomissa muissa sovelluksissa. Mutta se, mitä tapahtui seuraavaksi, yllätti minut täysin: dialogi vain katosi, ja minut pudotettiin suoraan sovellukseen ikään kuin ylimääräistä turvakerrostra ei olisi ollut lainkaan olemassa.

Aluksi en ollut varma siitä, mitä oli tapahtunut. Oliko sovellus varmistanut henkilöllisyyteni hiljaisesti jollain muulla tavalla? Lukitsin WhatsAppin, avasin sen uudelleen ja testasin uudelleen. Sama tulos: "X" peruuttaa PIN-kehotuksen ja myöntää täyden pääsyn. Yhdellä napautuksella olin kiertänyt oman kaksivaihevarennukseni ja vaarantanut juuri sen ominaisuuden, jonka luulin suojaavan tiliäni.

Sen, minkä olisi pitänyt olla seinä, oli vain raollaan oleva ovi

Kun tajusin mitä oli juuri tapahtunut, minua valtasi vajuminen tunne. Tämä ei ollut hämärä virhe tai piilotettu asetus—se oli osa oletusprosessia. WhatsApp pyytää PIN-koodiani, mutta antaa sitten minulle pakotien. Tuo "X" ei ole kohteliaisuus; se on kohtalokas virhe logiikassa.

Kaksivaihevarmennuksen pitäisi olla vankka este, joka estää luvattoman pääsyn. Tässä sitä käsitellään ehdotuksena. Ja se on käyttökokemusvalinta, jolla on todellisia turvallisuusseurauksia.

Miksi tämä on tärkeämpää nyt kuin koskaan

Itsessään tämä laiminlyönti on huolestuttavaa. Mutta se tapahtuu juuri silloin, kun Meta työntää tekoälyään syvemmälle WhatsAppiin—esittelemällä chatbotteja, tekoälyn ehdottamia vastauksia ja älykkäitä hakutoimintoja, jotka koskettavat viestintämme henkilökohtaisimpia puolia. Mitä enemmän tekoäly on kudottu sovelluksen kankaaseen, sitä korkeammiksi panokset muuttuvat yksityisyydelle ja turvallisuudelle.

Kun viestisovelluksessasi oleva tekoälyavustaja voi patistaa sinua jakamaan tietoja, se luottaa luottamuksen ja vankojen sääntöjen perustaan. Jos juuri sitä toimenpidettä, joka on suunniteltu pysäyttämään luvaton sisääntulo, voidaan hylätä napautuksella, mitä se kertoo sovelluksen sitoutumisesta tietojesi suojaamiseen?

Suunnitteluvalinnat heijastavat prioriteetteja

Henkilönä, joka tarkastelee käyttöliittymiä ammattimaisesti, tiedän, että mikään WhatsAppin kaltaisessa tuotteessa ei tapahdu vahingossa. Jos siellä on "X", joku on suunnitellut sen. Jos tuon "X":n napautus ohittaa turvallisuuden, joku on hyväksynyt sen. Tuo valinta—olipa se tahallinen tai huomioimaton—lähettää selvän viestin: käytettävyyttä priorisoidaan turvallisuuden sijaan hetkellä, jolloin sitä ei pitäisi tehdä.

Miljoonat käyttäjät ottavat kaksivaihevarennuksen käyttöön uskoen, että se lukitsee heidän tilinsä turvallisesti. Kun tuo luottamus rikkoutuu, kyse ei ole vain muutamasta teknisesti taitavasta käyttäjästä, joka huomaa vian—se syöpyy luottamusta kaikilta.

Hiljainen ennakkotapaus

Juuri nyt kyseessä on hylättävä PIN-kehote. Huomenna se voisi olla tekoälyn ohjaajia tietojen jakamiseen tai automaattisia ominaisuuksia, jotka liukuvat tutkan alle. Joka kerta kun turvaominaisuutta käsitellään valinnaisena, luomme ennakkotapauksen yksityisyysominaisuuksille olla neuvoteltavissa pakollisten sijaan.

Ei ole alarmistista sanoa, että se, miten turvallisuus toteutetaan tänään, muokkaa digitaalisen yksityisyyden tulevaisuutta. Jos Meta ei voi turvata perus-PIN-näyttöä WhatsAppissa, miten voimme luottaa siihen syvemmän tekoälyn voimistaman pääsyn kanssa yksityisimpiin keskusteluihimme?

Loppuajatukset ja toimintakehotus

En aikonut paljastaa turvavirhettä, kun otin puhelimeni kiinni kuuluisain keskustelussa. Mutta tuo yksi napautus—hylkää, mene sisään, pääse—muutti näkemystäni WhatsAppin turvamallista. Ja jätti minut miettimään: jos kriittinen kaksivaihevarmennus voidaan ohittaa niin helposti, mitä muita suojauksia hiljennetään äänettömästi?

Ja älkäämme unohtako, että Meta "silloin Facebook" lisäsi sovelluksiinsa vaiheessa koodia ottaakseen kaiken puheludatan ja SMS-viestit. Okei, he käyttivät lupia sen käyttöönottamiseen, mutta useimmat ihmiset valitsivat sen tietämättä tehneensä sitä tai ihmettelemättä miksi yhtiö haluaisi ottaa heidän henkilökohtaiset tietonsa. Kun Meta nyt laittaa tekoälyä WhatsApp-sovellukseen kyvyllä louhia dataa kaikista keskusteluistasi. On vain ajan kysymys, ennen kuin hallitukset kertovat Metalle, että ne purkavat kaikki puhelimen tiedot tietylle henkilölle tai ihmisryhmälle.