Vėlyvas WhatsApp pokalbis atskleidė nerimą keliančią saugumo spragą

Ėjau miegoti anksti, tad kitą rytą paėmiau telefoną, atidariau WhatsApp ir slinkau atgal, norėdamas pamatyti, ko praleisdau.

Bet vietoj to, kad nėrčiau tiesiai į pokalbį, mane pasitiko viso ekrano pranešimas, prašantis mano dviejų veiksnių autentifikacijos kodo – funkcijos, kurią įjungiau prieš mėnesius papildomam saugumui. Iki šiol viskas gerai, bet ar matote problemą?

Tai saugumo funkcija, kad mano pokalbiai išliktų privatūs, tai kodėl ten yra uždarymo mygtukas? Tai prastas UI dizaino sprendimas ir aš dirbau su pakankamai daug dizainerių, kad žinočiau – geras būtų tai pastebėjęs, o jei ne, tai geras programuotojas būtų tai sugavęs. Kas nusisuko pas Meta?

Negalvodamas paspaudžiau "X" viršutiniame dešiniajame ekrano kampe. Maniau, kad tai atšauks prisijungimo procesą arba galbūt grąžins mane į ankstesnį ekraną – tai buvo intuityvus dalykas, kurį dariau nesuskaitomomis kitose programose. Bet tai, kas įvyko toliau, mane visiškai nustebino: dialogo langas tiesiog išnyko ir buvau tiesiai nukreiptas į programą, tarsi papildomo saugumo sluoksnio iš viso nebūtų.

Iš pradžių nebuvau tikras, kas atsitiko. Ar programa tyliai autentifikavo mano tapatybę kitu būdu? Užrakinau WhatsApp, atidariau jį vėl ir išbandžiau dar kartą. Tas pats rezultatas: "X" atšaukia PIN raginimą ir suteikia pilną prieigą. Vienu palietimu apeibėjau savo dviejų veiksnių autentifikaciją ir pažeidžiau būtent tą funkciją, kuri, kaip maniau, saugo mano paskyrą.

Tai, kas turėjo būti siena, buvo tiesiog durys, paliktos atdaros

Kai supratau, kas ką tik atsitiko, apėmė skausminga supratimo banga. Tai nebuvo miglotas klaidos atvejis ar paslėptas nustatymas – tai buvo numatytojo srauto dalis. WhatsApp prašo mano PIN, bet paskui suteikia man pabėgimo kelią. Šis "X" nėra mandagumas; tai yra mirtina loginės klaida.

Dviejų veiksnių autentifikacija turėtų būti patikima kliūtis, apsauganti nuo neleistinos prieigos. Čia ji traktuojama kaip pasiūlymas. Ir tai yra UX sprendimas su realiais saugumo pasekmėmis.

Kodėl tai dabar yra svarbiau nei bet kada

Savaime šis aplaidumas yra susirūpinimo priežastis. Bet tai vyksta būtent tuo metu, kai Meta stumia savo dirbtinį intelektą giliau į WhatsApp – pristato pokalbių robotus, AI atsakymų pasiūlymus ir išmaniuosius paieškos funkcijas, kurie paveiks pačius intymiausius mūsų bendravimo aspektus. Kuo daugiau AI įaudžiama į programą, tuo aukštesni tampa privatumo ir saugumo reikalavimai.

Kai AI asistentas jūsų žinučių programoje gali jus paraginti dalintis informacija, jis remiasi pasitikėjimo ir stiprios kontrolės pamatu. Jei pačiu mechanizmu, kuris sukurtas sustabdyti neleistiną įėjimą, galima šiaip sau praslysti vienu palietimu, ką tai sako apie programos įsipareigojimą saugoti jūsų duomenis?

Dizaino sprendimai atspindi prioritetus

Kaip žmogus, kuris profesionaliai peržiūri sąsajas, žinau, kad niekas tokioje platformoje kaip WhatsApp neatsitinka atsitiktinai. Jei ten yra "X", kažkas jį suprojektavo. Jei paspaudus tą "X" apeinama sauga, kažkas tai patvirtino. Tas pasirinkimas – ar tai sąmoningas, ar pamirštamas – siunčia aiškų signalą: naudojamumas prioritetuojamas prieš saugumą akimirką, kai neturėtų būti.

Milijonai vartotojų įjungia dviejų veiksnių autentifikaciją tikėdamiesi, kad ji saugiai užrakina jų paskyras. Kai tas pasitikėjimas sulaužomas, tai ne tik kelių techniškai apsišvietusių vartotojų, pastebėjusių trūkumą, klausimas – tai silpnina pasitikėjimą visiems.

Tylus precedentas

Šiandien tai atšaukiamas PIN raginimas. Rytoj tai gali būti AI skatinami ragintimai dalintis daugiau duomenų ar automatizuoti funkcijos, slydinčios nepastebėtos. Kiekvieną kartą, kai su saugumo funkcija elgiamasi kaip su pasirinktine, mes nustatome precedentą, kad privatumo funkcijos yra derybų objektas, o ne privalumas.

Nėra pernelyg dramatiškas sakymas, kad tai, kaip saugumas įgyvendinamas šiandien, formuoja skaitmeninio privatumo ateitį. Jei Meta negali užtikrinti pagrindinio užrakinimo ekrano WhatsApp, kaip galime pasitikėti jais su giliau AI valdoma prieiga prie mūsų intymiausių pokalbių?

Baigiamosios mintys ir raginimas veikti

Aš ketinau ne atrasti saugumo spragą, kai paėmiau telefoną pasivyti pokalbio. Bet tas vienas palietimas – atmesti, įeiti, gauti prieigą – pakeitė mano suvokimą apie WhatsApp saugumo modelį. Ir paliko mane galvojant: jei tokią svarbią dviejų veiksnių autentifikacijos patikrą galima taip lengvai apeiti, kokie kiti gynybos mechanizmai tyliai ardo?

Ir nepamirškime, kad Meta "tuo metu Facebook" savo programose tam tikru metu pridėjo kodą, kad paims visus jūsų skambučių žurnalus ir SMS žinutes. Gerai, jie naudojo leidimus tai įgalinti, bet dauguma žmonių tai rinko nežinodami, kad jie tai darė, arba nesvarstydami, kodėl bendrovė norėtų imti jų asmeninius duomenis. Dabar Meta deda AI į WhatsApp programą su galimybe gauti duomenis iš visų jūsų pokalbių. Tai tik laiko klausimas, kol valdžios institucijos paves Meta ištraukti visus telefono duomenis tam tikram asmeniui ar žmonių grupei.