Pozni pogovor na WhatsApp je razkril skrb vzbujajočo varnostno pomanjkljivost

Šel sem zgodaj spat, zato sem naslednje jutro vzel telefon, odprl WhatsApp in se premikal nazaj, da vidim, kaj sem zamudil.

Toda namesto da bi se poglobil neposredno v pogovor, me je dočakal poziv na celotnem zaslonu, ki je zahteval moj PIN za dvostopenjsko preverjanje—funkcijo, ki sem jo aktiviral mesece prej za dodatno varnost. Do sedaj je bilo vse v redu, toda vidite težavo?

To je varnostna funkcija za ohranjanje zasebnosti mojih klepetov, torej zakaj je tam ikona za zapiranje? To je slaba izbira oblikovanja uporabniškega vmesnika in delal sem z dovolj oblikovalci, da vem, da bi dober to opazil, in če ne, bi moral dober razvijalec to ujeti. Kaj se je pokvarilo pri Meta?

Ne da bi razmislil, sem pritisnił "X" v zgornjem desnem kotu zaslona. Predvideval sem, da bo to preklicalo potek prijave ali me morda poslalo nazaj na prejšnji zaslon—bilo je instinktivno, nekaj, kar sem počel v nešteto drugih aplikacijah. Toda to, kar se je zgodilo potem, me je popolnoma presenetilo: dialog je preprosto izginil in vržen sem bil neposredno v aplikacijo, kot da ta dodatna plast varnosti sploh ne bi obstajala.

Sprva nisem bil prepričan, kaj se je zgodilo. Je aplikacija tiho preverila mojo identiteto na drug način? Zaklenil sem WhatsApp, ga ponovno odprl in preizkusil znova. Enak rezultat: "X" prekliče poziv PIN in omogoči poln dostop. Z enim pritiskom sem obšel svoje lastno dvostopenjsko preverjanje in kompromitiral natanko tisto funkcijo, za katero sem mislil, da ščiti moj račun.

To, kar bi moralo biti zid, je bil le prag na stežaj

Ko sem spoznal, kaj se je pravkar zgodilo, me je prevzel negotov občutek. To ni bila nobena nejasen napaka ali skrita nastavitev—to je bilo del standardnega poteka. WhatsApp prosi za moj PIN, potem pa mi ponudi umikalno pot. Ta "X" ni vljudnost; to je usodna napaka v logiki.

Dvostopenjsko preverjanje bi moralo biti trdna ovira, ki preprečuje nepooblaščen dostop. Tu se z njim ravna kot s predlogom. In to je odločitev UX z resničnimi varnostnimi posledicami.

Zakaj to pomeni več kot kdaj koli sedaj

Sama po sebi je ta zanemarjenost zaskrbljujoča. Toda dogaja se natanko takrat, ko Meta potiska svojo umetno inteligenco globlje v WhatsApp—uvaja chatbote, z umetno inteligenco predlagane odgovore in pametne funkcije iskanja, ki se dotikajo najosebnejših vidikov naše komunikacije. Bolj ko je umetna inteligenca vpletena v tkivo aplikacije, večji postajajo deleži za zasebnost in varnost.

Ko te pomočnik z umetno inteligenco v tvoji aplikaciji za sporočanje lahko spodbuja k deljenju informacij, se opira na temelj zaupanja in robustne kontrole. Če je sam ukrep, zasnovan za zaustavitev nepooblaščenega dostopa, mogoče odvreči z enim pritiskom, kaj to pove o zavezi aplikacije za zaščito vaših podatkov?

Oblikovalske izbire odražajo prednostne naloge

Kot nekdo, ki profesionalno ocenjuje vmesnike, vem, da se nič v izdelku, kot je WhatsApp, ne zgodi po naključju. Če obstaja "X", ga je nekdo zasnoval. Če pritiskanje na ta "X" obide varnost, je nekdo to odobril. Ta izbira—bodisi namerna bodisi spregledana—pošilja jasno sporočilo: uporabnost je prednostna pred varnostjo v trenutku, ko ne bi smela biti.

Milijoni uporabnikov aktivira dvostopenjsko preverjanje v prepričanju, da bo to varno zaklenilo njihov račun. Ko se to zaupanje prelomi, to ni le vprašanje nekaj tehnično usmerjenih uporabnikov, ki opazijo napako—to ruši zaupanje za vse.

Tihi precedens

Prav sedaj je to zavržen poziv PIN. Jutri so lahko to spodbude, ki jih vodi umetna inteligenca, za deljenje več podatkov ali avtomatizirane funkcije, ki se izmikajo izpod radarja. Vsakič, ko se z varnostno funkcijo ravna kot z neobvezno, vzpostavljamo precedens, da so funkcije zasebnosti pogajljive namesto obvezne.

Ni alarmistično reči, da način, kako se varnost izvaja danes, oblikuje prihodnost digitalne zasebnosti. Če Meta ne more zavariti osnovnega zaslona PIN v WhatsApp, kako jim lahko zaupamo s globljih dostopom, ki ga vodi umetna inteligenca, do naših najzasebnejših pogovorov?

Zaključne misli in poziv k ukrepanju

Nisem nameraval odkriti varnostne napake, ko sem vzel telefon, da bi ujel klepet. Toda ta en pritisk—zavrni, vstopi, dostop—je spremenil moj pogled na varnostni model WhatsApp. In pustil me je v razmisleku: če lahko kritično kontrolo dvostopenjskega preverjanja tako zlahka obidemo, katere druge zaščite se tiho razjedajo?

In ne pozabimo, da je Meta "takrat Facebook" dodala kodo v svoje aplikacije v določenem trenutku, da bi vzela vse vaše podatke o klicih in SMS. V redu, uporabili so dovoljenja za njeno aktivacijo, toda večina ljudi se je za to odločila, ne da bi vedeli, da so to storili, ali se spraševali, zakaj bi podjetje želelo njihove osebne podatke. Z Meta, ki sedaj vstavljajo umetno inteligenco v aplikacijo WhatsApp s sposobnostjo rudarjenja podatkov iz vseh vaših klepetov. To je le vprašanje časa, preden bodo vlade rekle Meta, naj izloči vse podatke na telefonu za določeno osebo ali skupino ljudi.