Касни разговор на WhatsApp-у открио је забрињавајући безбедносни недостатак

Отишао сам рано да спавам, па сам следећег јутра узео телефон, отворио WhatsApp и скролао уназад да видим шта сам пропустио.

Али уместо да се урањам директно у разговор, дочекао ме је prompt преко целог екрана који је тражио мој PIN за двостепену верификацију—функцију коју сам активирао месецима раније за додатну безбедност. До сада све у реду, али видите ли проблем?

Ово је безбедносна функција да сачувам приватност мојих чатова, па зашто постоји икона за затварање? Ово је лош избор UI дизајна и радио сам са довољно дизајнера да знам да би добар то приметио, а ако не, онда би добар програмер требало да то ухвати. Шта је пошло по зло код Meta?

Не размишљајући, притиснуо сам "X" у горњем десном углу екрана. Претпоставио сам да ће то поништити ток пријављивања или ме можда вратити на претходни екран—било је то инстинктивно, нешто што сам радио у безброј других апликација. Али оно што се десило након тога ме је потпуно изненадило: дијалог је једноставно нестао и убачен сам директно у апликацију, као да тај додатни слој безбедности уопште није постојао.

У почетку нисам био сигуран шта се десило. Да ли је апликација тихо верификовала мој идентитет на неки други начин? Закључао сам WhatsApp, отворио га поново и тестирао поново. Исти резултат: "X" поништава PIN prompt и даје потпун приступ. Једним притиском сам заобишао своју сопствену двостепену верификацију и компромитовао тачно ону функцију за коју сам мислио да штити мој налог.

Оно што је требало да буде зид било је само прилеално отворен праг

Када сам схватио шта се управо десило, обузео ме је немиран осећај. Ово није била нека нејасна грешка или скривена подешавања—ово је било део стандардног тока. WhatsApp тражи мој PIN, а затим ми даје излазни пут. То "X" није учтивост; то је фатална грешка у логици.

Двостепена верификација требало би да буде чврста баријера која спречава неовлашћен приступ. Овде се третира као предлог. И то је UX одлука са стварним безбедносним последицама.

Зашто ово значи више него икад сада

Само по себи, ово занемаривање је забрињавајуће. Али дешава се управо када Meta гура своју AI дубље у WhatsApp—уводећи chatbots, одговоре предложене од стране AI и паметне функције претраге које додирују најличније аспекте наше комуникације. Што се више AI уткива у ткиво апликације, то већи постају улози за приватност и безбедност.

Када AI асистент у вашој апликацији за поруке може да вас охрабри да делите информације, ослања се на основу поверења и робусних контрола. Ако сама мера дизајнирана да заустави неовлашћен приступ може да се одбаци једним притиском, шта то говори о посвећености апликације заштити ваших података?

Дизајнерски избори одражавају приоритете

Као неко ко професионално оцењује интерфејсе, знам да се ништа у производу попут WhatsApp не дешава случајно. Ако постоји "X", неко га је дизајнирао. Ако притискање тог "X" заобилази безбедност, неко је то одобрио. Тај избор—намеран или превиђен—шаље јасну поруку: употребљивост је приоритетна у односу на безбедност у тренутку када не би требало да буде.

Милиони корисника активирају двостепену верификацију верујући да ће то безбедно закључати њихов налог. Када се то поверење прекине, то није само питање неколико технички оријентисаних корисника који примећују грешку—то подрива поверење за све.

Тихи преседан

Управо сада то је одбацив PIN prompt. Сутра то могу бити AI вођени подстицаји за дељење више података или аутоматизоване функције које се провлаче испод радара. Сваки пут када се безбедносна функција третира као опциона, успостављамо преседан да су функције приватности преговарљиве уместо обавезне.

Није алармистичко рећи да начин на који се безбедност имплементира данас обликује будућност дигиталне приватности. Ако Meta не може да обезбеди основни PIN екран у WhatsApp, како можемо да им верујемо са дубљим AI вођеним приступом нашим најприватнијим разговорима?

Завршне мисли и позив на акцију

Нисам намеравао да открием безбедносну грешку када сам узео телефон да стигнем чат. Али тај један притисак—одбаци, уђи, приступ—променио је мој поглед на WhatsApp безбедносни модел. И оставио ме је да се питам: ако критична контрола двостепене верификације може да се заобиђе тако лако, које друге заштите се тихо нагризају?

И не заборавимо да је Meta "тада Facebook" додала код у своје апликације у неком тренутку да узме све ваше податке позива и SMS-а. У реду, користили су дозволе да га активирају, али већина људи је то изабрала не знајући да су то урадили или питајући се зашто би компанија желела њихове личне информације. Са Meta која сада убацује AI у WhatsApp апликацију са способношћу рударења података из свих ваших чатова. То је само питање времена пре него што владе кажу Meta да извуче све податке са телефона за одређену особу или групу људи.