En sen WhatsApp-konversation avslöjade en oroande säkerhetsbrist

Jag hade gått och lagt mig tidigt, så nästa morgon tog jag min telefon, öppnade WhatsApp och scrollade tillbaka för att se vad jag hade missat.

Men istället för att dyka rakt in i konversationen möttes jag av en fullskärmsprompt som frågade efter min tvåstegsverifierings-PIN—en funktion jag hade aktiverat månader tidigare för extra säkerhet. Hittills så bra, men kan du upptäcka problemet?

Detta är en säkerhetsfunktion för att hålla mina chattar privata, så varför finns det en stäng-ikon? Detta är ett dåligt UI-designval och jag har arbetat med tillräckligt många designers för att veta att en bra en skulle ha uppmärksammat detta och om de inte gjorde det, då borde en bra utvecklare ha fångat detta. Vad gick fel på Meta?

Utan att tänka tryckte jag på "X":et i övre högra hörnet av skärmen. Jag antog att det skulle avbryta inloggningsflödet eller kanske skicka mig tillbaka till föregående skärm—det var instinktivt, något jag hade gjort i otaliga andra appar. Men vad som hände härnäst tog mig helt på sängen: dialogen försvann helt enkelt, och jag kastades rakt in i appen som om det extra säkerhetslagret inte existerade alls.

Till en början var jag inte säker på vad som hade hänt. Hade appen tyst verifierat min identitet på något annat sätt? Jag låste WhatsApp, öppnade det igen och testade igen. Samma resultat: "X":et avbryter PIN-prompten och ger full åtkomst. Med ett tryck hade jag kringgått min egen tvåstegsverifiering och komprometterat just den funktion jag trodde skyddade mitt konto.

Vad som borde ha varit en vägg var bara en dörr på glänt

När jag insåg vad som just hade hänt slog en olustig känsla över mig. Detta var inte en obskyrt bugg eller en gömd inställning—det var en del av standardflödet. WhatsApp frågar efter min PIN, men räcker sedan över en flyktväg. Det "X":et är inte en artighet; det är ett fatalt fel i logiken.

Tvåstegsverifiering borde vara en fast barriär som förhindrar obehörig åtkomst. Här behandlas det som ett förslag. Och det är ett UX-beslut med verkliga säkerhetskonsekvenser.

Varför detta spelar större roll än någonsin nu

I sig själv är denna försummelse oroande. Men det händer precis när Meta trycker sin AI djupare in i WhatsApp—introducerar chatbots, AI-föreslagna svar och smarta sökfunktioner som berör de mest personliga aspekterna av vår kommunikation. Ju mer AI vävas in i en apps tyg, desto högre blir insatserna för integritet och säkerhet.

När en AI-assistent i din meddelandeapp kan uppmuntra dig att dela information, förlitar den sig på en grund av förtroende och robusta kontroller. Om själva åtgärden som är designad för att stoppa obehörig inträde kan kastas bort med ett tryck, vad säger det då om appens engagemang för att skydda dina data?

Designval speglar prioriteringar

Som någon som granskar gränssnitt professionellt vet jag att ingenting i en produkt som WhatsApp händer av en slump. Om det finns ett "X", har någon designat det. Om att trycka på det "X":et kringgår säkerhet, har någon godkänt det. Det valet—vare sig det är avsiktligt eller förbisett—skickar ett tydligt budskap: användarvänlighet prioriteras över säkerhet vid en tidpunkt när det inte borde vara så.

Miljontals användare aktiverar tvåstegsverifiering i tron att det kommer att låsa deras konto säkert. När det förtroendet bryts är det inte bara en fråga om några få teknikintresserade användare som märker ett fel—det undergräver förtroendet för alla.

Ett tyst prejudikat

Just nu är det en avvisningsbar PIN-prompt. Imorgon kan det vara AI-drivna påtryckningar att dela mer data eller automatiserade funktioner som glider under radarn. Varje gång en säkerhetsfunktion behandlas som valfri, skapar vi ett prejudikat för att integritetsfunktioner är förhandlingsbara snarare än obligatoriska.

Det är inte alarmistiskt att säga att hur säkerhet implementeras idag formar framtiden för digital integritet. Om Meta inte kan säkra en grundläggande PIN-skärm i WhatsApp, hur kan vi då lita på det med djupare AI-drivet tillträde till våra mest privata konversationer?

Slutliga tankar och uppmaning till handling

Jag avsåg inte att upptäcka ett säkerhetsfel när jag tog min telefon för att komma ikapp en chatt. Men det enda trycket—avvisa, ange, tillträde—förändrade min syn på WhatsApps säkerhetsmodell. Och det lämnade mig att undra: om en kritisk tvåstegsverifieringskontroll kan kringgås så lätt, vilka andra skydd eroderas då tyst?

Och låt oss inte glömma att Meta "då Facebook" lade till kod i sina appar vid ett tillfälle för att ta all din samtals- och SMS-data. Okej, de använde behörigheter för att aktivera det men de flesta människor valde detta utan att veta att de hade gjort det eller undra varför ett företag skulle vilja ta deras personliga information. Med Meta som nu lägger AI i WhatsApp-applikationen med förmågan att datautvinning alla dina chattar. Det är bara en tidsfråga innan regeringar säger åt Meta att extrahera all data på telefonen för en specifik individ eller en grupp människor.