Vēls WhatsApp sarunas atklāja satraucošu drošības problēmu

Es aizgāju gulēt agri, tāpēc nākamajā rītā paņēmu tālruni, atvēru WhatsApp un ritināju atpakaļ, lai redzētu, ko biju palaidis garām.

Bet tā vietā, lai iegremdētos tieši sarunā, mani sagaidīja pilnekrāna ziņojums, kas lūdza manu divfaktoru autentifikācijas kodu – funkciju, ko biju ieslēdzis mēnešiem iepriekš papildu drošībai. Līdz šim viss kārtībā, bet vai redzat problēmu?

Šī ir drošības funkcija, lai saglabātu manas tērzēšanas privātas, tad kāpēc tur ir aizvēršanas poga? Šis ir slikts UI dizaina lēmums, un es esmu strādājis ar pietiekami daudz dizaineriem, lai zinātu, ka labs to būtu pamanījis, un ja ne, tad labs programmētājs to būtu noķēris. Kas nogriezās pie Meta?

Nedomājot noklikšķināju uz "X" ekrāna augšējā labajā stūrī. Es domāju, ka tas atcels pieteikšanās procesu vai varbūt nosūtīs mani atpakaļ uz iepriekšējo ekrānu – tas bija intuitīvs darbs, ko biju darījis neskaitāmās citās programmās. Bet tas, kas notika tālāk, mani pilnībā pārsteidza: dialoga logs vienkārši pazuda un es tiku tieši ievirzīts programmā, it kā papildu drošības slāņa vispār nebūtu.

Sākumā nebiju pārliecināts, kas notika. Vai programma klusām autentificēja manu identitāti citā veidā? Es nobloķēju WhatsApp, atvēru to atkal un izmēģināju vēlreiz. Tas pats rezultāts: "X" atceļ PIN pieprasījumu un piešķir pilnu piekļuvi. Ar vienu pieskārienu es biju apgājis savu divfaktoru autentifikāciju un apdraudējis tieši to funkciju, kura, kā es domāju, aizsargā manu kontu.

Tas, kam vajadzēja būt sienam, bija tikai durvis, atstātas vaļā

Kad es apjēdzu, kas tikko bija noticis, mani pārņēma sāpīgs sapratnes vilnis. Šī nebija miglaina kļūda vai paslēpta iestatījuma – šī bija daļa no noklusējuma plūsmas. WhatsApp prasa manu PIN, bet pēc tam man dod izbēgšanas ceļu. Šis "X" nav pieklājība; tas ir nāvējošs loģikas defekts.

Divfaktoru autentifikācijai vajadzētu būt uzticamam šķērslim, kas novērš neatļautu piekļuvi. Šeit tā tiek behandēta kā ieteikums. Un tā ir UX lēmums ar reālām drošības sekām.

Kāpēc tas tagad ir svarīgāk nekā jebkad

Pats par sevi šī nolaidība ir satraukuma iemesls. Bet tas notiek tieši brīdī, kad Meta virza savu mākslīgo intelektu dziļāk WhatsApp – ieviešot tērzēšanas robotus, AI atbildes ieteikumus un gudras meklēšanas funkcijas, kas skars visintīmākos mūsu komunikācijas aspektus. Jo vairāk AI tiek ieausts programmā, jo augstāki kļūst privātuma un drošības reikalaviemi.

Kad AI asistents jūsu ziņojumu programmā var jūs mudināt dalīties informācijā, tas balstās uz uzticības un spēcīgas kontroles pamatu. Ja pats mehānisms, kas izstrādāts, lai apturētu neatļautu ienākšanu, ir viegli apejams ar vienu pieskārienu, ko tas saka par programmas apņemšanos aizsargāt jūsu datus?

Dizaina lēmumi atspoguļo prioritātes

Kā cilvēks, kurš profesionāli pārskata saskarnes, es zinu, ka nekas tādā platformā kā WhatsApp nenotiek nejauši. Ja tur ir "X", kāds to izstrādāja. Ja nospiežot to "X" tiek apietai drošība, kāds to apstiprināja. Šī izvēle – vai tā ir apzināta vai aizmirsta – sūta skaidru signālu: lietojamība tiek prioritizēta pār drošību brīdī, kad tā nevajag.

Miljoni lietotāju ieslēdz divfaktoru autentifikāciju, cerībās, ka tas droši aizslēgs viņu kontus. Kad šī uzticība tiek pārkāpta, tas nav tikai dažu tehniski izglītotu lietotāju jautājums, kuri pamanīja kļūdu – tas grauž uzticību visiem.

Klusais precedents

Šodien tas ir atceļams PIN pieprasījums. Rīt tas varētu būt AI virzīti aicinājumi dalīties ar vairāk datiem vai automatizētas funkcijas, kas slīd palikt nepamanītas. Katru reizi, kad ar drošības funkciju apietas kā ar izvēles, mēs izveidojam precedentu, ka privātuma funkcijas ir sarunu objekts, nevis nepieciešamība.

Nav pārlieku dramatiski teikt, ka veids, kā drošība tiek īstenota šodien, veido digitālā privātuma nākotni. Ja Meta nevar nodrošināt pamata bloķēšanas ekrānu WhatsApp, kā mēs varam uzticēties tiem ar dziļāku AI kontrolētu piekļuvi mūsu visintīmākajām sarunām?

Nobeiguma domas un aicinājums rīkoties

Es neierakstīju atrast drošības spragu, kad paņēmu tālruni, lai atspētu sarunu. Bet tas viens pieskāriens – noraidīt, ienākt, iegūt piekļuvi – mainīja manu uzskatu par WhatsApp drošības modeli. Un atstāja mani pārdomās: ja tāda svarīga divfaktoru autentifikācijas pārbaude var tikt tik viegli apziesta, kādi citi aizsardzības mehānisms klusām erodē?

Un neaizmirsīsim, ka Meta "tolaik Facebook" savās programmās kādā brīdī pievienoja kodu, lai paņemtu visas jūsu zvanu žurnālus un SMS ziņojumus. Labi, viņi izmantoja atļaujas, lai to iespējotu, bet lielākā daļa cilvēku to izvēlējās, nezinot, ka viņi to dara, vai neko nesvarstot par to, kāpēc uzņēmums vēlētos ņemt viņu personiskos datus. Ar Meta tagad liekot AI WhatsApp programmā ar spēju saņemt datus no visām jūsu sarunām. Tas ir tikai laika jautājums, līdz valdību aģentūras pasaka Meta izvilkt visus tālruņa datus konkrētam indivīdam vai cilvēku grupai.