En sen WhatsApp-samtale avslørte en bekymringsfull sikkerhetsfeil

Jeg hadde gått til sengs tidlig, så neste morgen tok jeg telefonen min, åpnet WhatsApp og rullet tilbake for å se hva jeg hadde gått glipp av.

Men i stedet for å dykke rett inn i samtalen, ble jeg møtt av en fullskjerm-prompt som ba om min to-trinns verifiserings-PIN—en funksjon jeg hadde aktivert måneder tidligere for ekstra sikkerhet. Så langt, så bra, men kan du se problemet?

Dette er en sikkerhetsfunksjon for å holde chattene mine private, så hvorfor er det et lukke-ikon? Dette er et dårlig UI-designvalg og jeg har jobbet med nok designere til å vite at en god en ville ha oppdaget dette og hvis de ikke gjorde det, så burde en god utvikler ha fanget dette opp. Hva gikk galt hos Meta?

Uten å tenke meg om trykket jeg på "X"-en i øvre høyre hjørne av skjermen. Jeg antok at det ville avbryte påloggingsflyten eller kanskje sende meg tilbake til forrige skjerm—det var instinktivt, noe jeg hadde gjort i utallige andre apper. Men det som skjedde deretter tok meg helt på senga: dialogen forsvant bare, og jeg ble kastet rett inn i appen som om det ekstra sikkerhetslaget ikke eksisterte i det hele tatt.

Til å begynne med var jeg ikke sikker på hva som hadde skjedd. Hadde appen stilte verifisert identiteten min på en annen måte? Jeg låste WhatsApp, åpnet det igjen og testet på nytt. Samme resultat: "X"-en avbryter PIN-prompten og gir full tilgang. Med ett trykk hadde jeg omgått min egen to-trinns verifisering og kompromittert akkurat den funksjonen jeg trodde beskyttet kontoen min.

Det som skulle ha vært en vegg var bare en dørstokk på gløtt

Da jeg innså hva som nettopp hadde skjedd, slo en urolig følelse over meg. Dette var ikke en obskur feil eller en skjult innstilling—det var en del av standard-flyten. WhatsApp ber om PIN-en min, men gir meg så en rømningsvei. Den "X"-en er ikke en høflighet; det er en fatal feil i logikken.

To-trinns verifisering burde være en fast barriere som forhindrer uautorisert tilgang. Her behandles det som et forslag. Og det er en UX-avgjørelse med virkelige sikkerhetskonsekvenser.

Hvorfor dette betyr mer enn noen gang nå

Alene er denne forsømmelsen bekymringsfull. Men det skjer akkurat når Meta presser sin AI dypere inn i WhatsApp—introduserer chatbots, AI-foreslåtte svar og smarte søkefunksjoner som berører de mest personlige aspektene av kommunikasjonen vår. Jo mer AI veves inn i stoffet til en app, jo høyere blir innsatsen for personvern og sikkerhet.

Når en AI-assistent i meldingsappen din kan oppmuntre deg til å dele informasjon, baserer den seg på et fundament av tillit og robuste kontroller. Hvis selve tiltaket som er designet for å stoppe uautorisert inngang kan kastes bort med ett trykk, hva sier det da om appens forpliktelse til å beskytte dataene dine?

Designvalg reflekterer prioriteringer

Som noen som vurderer grensesnitt profesjonelt, vet jeg at ingenting i et produkt som WhatsApp skjer ved en tilfeldighet. Hvis det er en "X", har noen designet den. Hvis det å trykke på den "X"-en omgår sikkerhet, har noen godkjent det. Det valget—enten det er tilsiktet eller oversett—sender et klart budskap: brukervennlighet prioriteres over sikkerhet på et tidspunkt når det ikke burde være slik.

Millioner av brukere aktiverer to-trinns verifisering i troen på at det vil låse kontoen deres trygt. Når den tilliten brytes, er det ikke bare et spørsmål om noen få teknisk kyndige brukere som legger merke til en feil—det undergraver tilliten for alle.

Et stille prejudikat

Akkurat nå er det en avvisbar PIN-prompt. I morgen kan det være AI-drevne påskyndelser til å dele mer data eller automatiserte funksjoner som glir under radaren. Hver gang en sikkerhetsfunksjon behandles som valgfri, etablerer vi et prejudikat for at personvernfunksjoner er omsettelige i stedet for obligatoriske.

Det er ikke alarmistisk å si at hvordan sikkerhet implementeres i dag former fremtiden for digital personvern. Hvis Meta ikke kan sikre en grunnleggende PIN-skjerm i WhatsApp, hvordan kan vi da stole på det med dypere AI-drevet tilgang til våre mest private samtaler?

Avsluttende tanker og oppfordring til handling

Jeg hadde ikke til hensikt å oppdage en sikkerhetsfeil da jeg tok telefonen for å ta igjen en chat. Men det ene trykket—avvis, gå inn, tilgang—endret mitt syn på WhatsApps sikkerhetsmodell. Og det lot meg lure: hvis en kritisk to-trinns verifiseringskontroll kan omgås så lett, hvilke andre beskyttelser blir da stille erodert?

Og la oss ikke glemme at Meta "den gang Facebook" la til kode i appene sine på et tidspunkt for å ta all samtale- og SMS-dataene dine. Ok, de brukte tillatelser for å aktivere det, men de fleste mennesker valgte dette uten å vite at de hadde gjort det eller lure på hvorfor et selskap ville ha den personlige informasjonen deres. Med Meta som nå legger AI inn i WhatsApp-applikasjonen med evnen til å datautvinne alle chattene dine. Det er bare et spørsmål om tid før regjeringer forteller Meta å trekke ut alle data på telefonen for en spesifikk person eller en gruppe mennesker.