Kasni razgovor na WhatsAppu otkrio je zabrinjavajući sigurnosni nedostatak

Rano sam otišao u krevet, pa sam sljedećeg jutra uzeo telefon, otvorio WhatsApp i skrolao unatrag da vidim što sam propustio.

Ali umjesto da uronimo direktno u razgovor, dočekao me je puni ekran koji traži moj PIN za dvofaktornu provjeru—funkciju koju sam omogućio mjesecima ranije za dodatnu sigurnost. Do sada sve u redu, ali možete li uočiti problem?

Ovo je sigurnosna funkcija da moji razgovori ostanu privatni, pa zašto postoji ikona zatvaranja? Ovo je loš izbor UI dizajna i radio sam s dovoljno dizajnera da znam da bi dobar to primijetio, a ako ne, onda je dobar developer trebao to uhvatiti. Što je pošlo po zlu u Meti?

Ne razmišljajući, dodirnuo sam "X" u gornjem desnom kutu ekrana. Pretpostavio sam da će poništiti postupak prijave ili me možda vratiti na prethodni ekran—bilo je instinktivno, nešto što sam učinio u nebrojenim drugim aplikacijama. Ali ono što se dogodilo dalje potpuno me uhvatilo nespremnog: dijalog je jednostavno nestao, a ja sam bačen direktno u aplikaciju kao da dodatni sloj sigurnosti uopće ne postoji.

U početku nisam bio siguran što se dogodilo. Je li aplikacija tiho potvrdila moj identitet na neki drugi način? Zaključao sam WhatsApp, ponovno ga otvorio i testirao ponovno. Isti rezultat: "X" poništava PIN upit i daje puni pristup. Jednim dodirom zaobišao sam svoju dvofaktornu provjeru i kompromitirao upravo funkciju za koju sam mislio da štiti moj račun.

Ono što je trebao biti zid bilo je samo vrata ostavljena odškrinuta

Kad sam shvatio što se upravo dogodilo, obuzeo me je osjećaj propadanja. Ovo nije bila nejasna greška ili skrivena postavka—bila je dio zadanog toka. WhatsApp traži moj PIN, ali zatim mi daje izlaz. Taj "X" nije ljubaznost; to je kobna greška u logici.

Dvofaktornu provjeru trebala bi biti čvrsta barijera koja sprječava neovlašteni pristup. Ovdje se tretira kao prijedlog. I to je UX odluka s pravim sigurnosnim posljedicama.

Zašto je to važnije sada nego ikad

Sama po sebi, ovaj je propust zabrinjavajući. Ali događa se upravo kad Meta gura svoju AI dublje u WhatsApp—uvodeći chatbotove, odgovore predložene AI-jem i pametne funkcije pretraživanja koje dotiču najličnije aspekte naše komunikacije. Što je više AI utkana u tkivo aplikacije, to su veći ulozi za privatnost i sigurnost.

Kad AI asistent u vašoj aplikaciji za razmjenu poruka može vas pogurati da podijelite informacije, oslanja se na temelj povjerenja i robusnih kontrola. Ako se sama mjera dizajnirana za zaustavljanje neovlaštenog ulaska može odbaciti dodirom, što to govori o predanosti aplikacije zaštiti vaših podataka?

Izbori dizajna odražavaju prioritete

Kao netko tko profesionalno pregleda sučelja, znam da se ništa u proizvodu poput WhatsAppa ne događa slučajno. Ako postoji "X", netko ga je dizajnirao. Ako dodiranje tog "X"-a zaobilazi sigurnost, netko je to odobrio. Taj izbor—bilo namjerni ili pregledan—šalje jasnu poruku: upotrebljivost se daje prioritet nad sigurnošću u trenutku kad ne bi trebala.

Milijuni korisnika omogućuju dvofaktornu provjeru vjerujući da će sigurno zaključati svoj račun. Kad se to povjerenje slomi, nije samo pitanje nekoliko tehnički pismenih korisnika koji primjećuju grešku—erodira povjerenje za sve.

Tihi presedan

Upravo sada, to je PIN upit koji se može odbaciti. Sutra, to bi mogli biti AI-vođeni poticaji za dijeljenje više podataka ili automatizirane funkcije koje se provuku ispod radara. Svaki put kad se sigurnosna funkcija tretira kao opcionalna, postavljamo presedan da funkcije privatnosti budu predmet pregovora umjesto obvezne.

Nije alarmistično reći da način na koji se sigurnost implementira danas oblikuje budućnost digitalne privatnosti. Ako Meta ne može osigurati osnovni PIN ekran u WhatsAppu, kako joj možemo vjerovati s dubljem AI-pogonjenim pristupom našim najprivatnijim razgovorima?

Završne misli i poziv na akciju

Nisam namjeravao otkriti sigurnosnu grešku kad sam uzeo telefon da nadoknadim razgovor. Ali taj jedan dodir—odbaci, uđi, pristupi—promijenio je moj pogled na sigurnosni model WhatsAppa. I ostavio me da se pitam: ako se kritična dvofaktornu provjera može tako lako zaobići, koje se druge zaštite tiho erodiraju?

I ne zaboravimo da je Meta "u to vrijeme Facebook" dodala kod u svoje aplikacije u jednoj fazi da uzme sve vaše podatke poziva i SMS poruke. U redu, koristili su dozvole da to omoguće, ali većina ljudi je odabrala to ne znajući da su to učinili ili se pitajući zašto bi korporacija htjela uzeti njihove osobne informacije. S Metom sada koja stavlja AI u WhatsApp aplikaciju sa sposobnošću vaditi podatke iz svih vaših razgovora. Samo je pitanje vremena prije nego što vlade kažu Meti da izvuče sve podatke na telefonu za određenu osobu ili skupinu ljudi.