Поздний разговор в WhatsApp выявил тревожную уязвимость безопасности

Я лег спать рано, поэтому следующим утром взял телефон, открыл WhatsApp и пролистал назад, чтобы посмотреть, что пропустил.

Но вместо того чтобы сразу погрузиться в беседу, меня встретило полноэкранное приглашение с просьбой ввести мой PIN двухэтапной верификации—функцию, которую я активировал месяцами ранее для дополнительной безопасности. Пока что все хорошо, но видите ли вы проблему?

Это функция безопасности для сохранения приватности моих чатов, так почему там есть иконка закрытия? Это плохой выбор дизайна UI, и я работал с достаточным количеством дизайнеров, чтобы знать, что хороший заметил бы это, а если нет, то хороший разработчик должен был бы это отловить. Что пошло не так в Meta?

Не думая, я нажал на "X" в верхнем правом углу экрана. Я предположил, что это отменит поток входа в систему или возможно отправит меня обратно на предыдущий экран—это было инстинктивно, то, что я делал в бесчисленных других приложениях. Но то, что произошло дальше, застало меня врасплох: диалог просто исчез, и меня перебросило прямо в приложение, как будто этого дополнительного слоя безопасности вообще не существовало.

Сначала я не был уверен, что произошло. Приложение молча проверило мою личность каким-то другим способом? Я заблокировал WhatsApp, открыл его снова и протестировал еще раз. Тот же результат: "X" отменяет приглашение PIN и дает полный доступ. Одним нажатием я обошел свою собственную двухэтапную верификацию и скомпрометировал именно ту функцию, которая, как я думал, защищает мой аккаунт.

То, что должно было быть стеной, было лишь приоткрытым порогом

Когда я понял, что только что произошло, меня охватило беспокойное чувство. Это была не какая-то неясная ошибка или скрытая настройка—это была часть стандартного потока. WhatsApp просит мой PIN, но затем дает мне путь к отступлению. Тот "X"—это не вежливость; это фатальный изъян в логике.

Двухэтапная верификация должна быть прочным барьером, предотвращающим несанкционированный доступ. Здесь к ней относятся как к предложению. И это решение UX с реальными последствиями для безопасности.

Почему это значит больше, чем когда-либо сейчас

Сама по себе эта халатность вызывает беспокойство. Но это происходит именно тогда, когда Meta продвигает свой ИИ глубже в WhatsApp—внедряя чат-боты, ответы, предлагаемые ИИ, и умные функции поиска, которые касаются самых личных аспектов нашего общения. Чем больше ИИ вплетается в ткань приложения, тем выше становятся ставки для приватности и безопасности.

Когда ИИ-помощник в вашем приложении для сообщений может поощрять вас делиться информацией, он опирается на основу доверия и надежных контролей. Если сама мера, предназначенная для остановки несанкционированного доступа, может быть отброшена одним нажатием, что это говорит о приверженности приложения защите ваших данных?

Выборы дизайна отражают приоритеты

Как человек, который профессионально оценивает интерфейсы, я знаю, что ничто в продукте вроде WhatsApp не происходит случайно. Если есть "X", кто-то его спроектировал. Если нажатие на этот "X" обходит безопасность, кто-то это одобрил. Этот выбор—намеренный или упущенный—посылает четкое сообщение: удобство использования приоритетнее безопасности в момент, когда так быть не должно.

Миллионы пользователей активируют двухэтапную верификацию, веря, что это надежно заблокирует их аккаунт. Когда это доверие нарушается, это не просто вопрос нескольких технически подкованных пользователей, замечающих ошибку—это подрывает доверие для всех.

Молчаливый прецедент

Прямо сейчас это отклоняемое приглашение PIN. Завтра это могут быть побуждения, управляемые ИИ, делиться большим количеством данных или автоматизированные функции, проскальзывающие под радаром. Каждый раз, когда функция безопасности рассматривается как опциональная, мы устанавливаем прецедент, что функции приватности обсуждаемы, а не обязательны.

Не является алармистским сказать, что то, как безопасность реализуется сегодня, формирует будущее цифровой приватности. Если Meta не может обезопасить базовый экран PIN в WhatsApp, как мы можем доверять им более глубокий доступ, управляемый ИИ, к нашим самым приватным разговорам?

Заключительные мысли и призыв к действию

Я не намеревался обнаружить ошибку безопасности, когда взял телефон, чтобы догнать чат. Но то одно нажатие—отклонить, войти, доступ—изменило мой взгляд на модель безопасности WhatsApp. И оставило меня размышлять: если критический контроль двухэтапной верификации может быть обойден так легко, какие еще защиты молча размываются?

И давайте не забывать, что Meta "тогда Facebook" добавила код в свои приложения в какой-то момент, чтобы получить все ваши данные звонков и SMS. Хорошо, они использовали разрешения для его активации, но большинство людей выбрали это, не зная, что они это сделали, или задаваясь вопросом, зачем компании нужна их личная информация. С Meta теперь внедряющей ИИ в приложение WhatsApp с возможностью извлечения данных из всех ваших чатов. Это только вопрос времени, прежде чем правительства скажут Meta извлечь все данные с телефона для конкретного человека или группы людей.