COVID-19-kontaktsporingsapps er begyndt at blive implementeret over hele verden, med apps som Aarogya Setu og NHS Covid-19, der nu anvender open source-tilgang.
Den nye coronavirus, også kendt som SARS-CoV-2, har skabt kaos over hele verden. Nogle få nationer har formået at kontrollere spredningen af virussen, men mange andre har kæmpet og prøver stadig deres bedste for at begrænse den. En af de strategier, der testes for dets indeslutning, er kontaktsporing, dvs. spore alle de mennesker, der for nylig er kommet i kontakt med en person, der er testet positiv for COVID-19, og derefter tage skridt til at isolere disse personer. Kontaktsporing er en afgørende opgave at få rigtigt, da det påvirker et individs privatliv og frihed i større interesse for folkesundheden. Truslen mod det personlige privatliv var stor nok til Google og Apple skal mødes og samarbejde om en kontaktsporings-API og Bluetooth-specifikation, som er designet til at have minimal indvirkning på brugernes privatliv og sikkerhed. Selvom disse bestræbelser er prisværdige, og nogle lande har taget dem til sig, har en hel del nationer også påtaget sig arbejde med deres egne lignende løsninger. I dette stykke forsøger vi at liste nogle af disse kontaktsporingsløsninger med fokus på dem, der har deres kildekode åben og tilgængelig for offentligheden til inspektion og feedback.
Uafhængige løsninger
Østrig - Stop Corona
Den østrigske regering vedtog Stop Corona app udviklet i samarbejde med Østrigs Røde Kors. Det gør denne app ikke stole på Google og Apples Exposure Notification API'er. Der er ingen placeringssporing på plads, da appen bruger Bluetooth. Appen overvåger de telefoner, der er kommet i nærheden af brugeren. Hvis en bruger har mistanke om COVID-19-infektion eller er blevet positivt diagnosticeret med det, uploades nærhedsoplysningerne til, hvad der hævdes at være en decentral database. Alarmer sendes ud til alle brugere, der har haft nærhedshistorik. Efter sigende indsamles der ingen personlige oplysninger, og hvis en bruger ønsker at fravælge sporing, kan de blot slette appen og dataene. For yderligere ro i sindet er appen også open source.
Stop Corona-kildekode på GitHub
Australien — COVIDSafe
Australien har vedtaget COVIDSafe app. Det gør denne app ikke stole på Google og Apples Exposure Notification API'er. Efter installationen skal brugerne registrere deres navn/pseudonym, aldersgruppe, postnummer og telefonnummer, som alle er gemt krypteret på en regering server. Appen er afhængig af Bluetooth til sporing af nærhed og udveksler anonymiserede id'er, der ændres hver anden time. Disse ID'er gemmes krypteret på telefoner og slettes efter 21 dage. Når nogen tester positiv for COVID-19, modtager de en unik kode fra sundhedsmyndigheder, som derefter uploader listen over anonymiserede id'er for de seneste 21 dage. Appen er også open source, så gennemsigtigheden bevares.
COVIDSafe-kildekode på GitHub
Tjekkiet — eRouska
Tjekkiet har vedtaget eRouska app. Det gør denne app ikke stole på Google og Apples Exposure Notification API'er. Svarende til andre implementeringer, der er Kun Bluetooth, eRouska scanner området for andre eRouska app-brugere i nærheden og gemmer mødedata lokalt på enheden. Når en bruger tester positiv, bliver brugeren kontaktet af sundhedsembedsmænd for at uploade mødedataene med samtykke. Det udsendte enheds-id ændres hver time, og scanning kan også slås til og fra manuelt. Brugere kan vælge at fjerne alle deres indsamlede data, inklusive telefonnummeret. Appen er også open source.
eRouska kildekode på GitHub
Pris: Gratis.
4.3.
Indien — Aarogya Setu
Indiens regering besluttede at ikke adoptere Google og Apples løsning, men i stedet udvikle sin egen løsning i form af Aarogya Setu app. Når en bruger har konfigureret sin konto på applikationen, beder appen om fortsat Bluetooth-adgang og placeringsdata. Brugere skal også give oplysninger som navn, alder, køn, helbredsstatus og mere for at opbygge en brugerprofil. Der fremlægges en selvevalueringstest, hvor brugeren bliver spurgt, om de udviser nogen af symptomerne på COVID-19 sammen med andre spørgsmål. Når to smartphones med Aarogya Setu-appen kommer tæt på hinanden, indsamler appen information. Hvis en af kontakterne er testet positiv, vil appen advare den anden person og give instruktioner til at hjælpe med selvisolering.
Brugen af denne Aarogya Setu-app blev først stærkt opmuntret af regeringen og derefter påbudt i flere tilfælde. Indien har dog ikke den bedste holdning til borgernes privatliv, da landet mangler vigtige love til at regulere sådanne brugssager. Da appen indsamler lokationsdata og deler det med regeringen-en tilgang, som mange har anset for overdreven og unødvendig - den kom i søgelyset for at være for indgribende for brugernes privatliv og for ikke at have nogen gennemsigtighed og ansvarlighed i processen. Det, der fulgte, var kritik af disse tilgange.
I nogle gode nyheder på dette område er Aarogya Setu-appen til Android blevet gjort til open source. Kildekoden til Android-appen er nu tilgængelig på GitHub. Bekymrede myndigheder lover, at kildekoden til iOS-versionen og KaiOS-versionen af appen vil også være open source "i god tid". Appens privatlivspolitik var også opdateret for at give mulighed for reverse-engineering af appen og rapportering af fejl til regeringen. Yderligere er der også en bug bounty program på plads og inviterer udviklere til at identificere sårbarheder, fejl og kodeforbedringer.
Aarogya Setu kildekode på GitHub
Alt dette er bestemt gode nyheder, da manglen på gennemsigtighed var ret alarmerende. Der er stadig spørgsmål om den uigennemsigtige back-end-infrastruktur og server-side-kode, men rapporter tyder på at også dette vil være open source i næste uge.
Pris: Gratis.
3.3.
Singapore — TraceTogether baseret på BlueTrace Protocol
Singapores implementering tager form af TraceTogether, hvilket også er ikke afhængig af Google og Apples Exposure Notification API'er, men er også kun Bluetooth og ikke lokationsbaseret. Appen behøver kun et mobilnummer for at starte, og der indsamles ikke andre personlige oplysninger. Nummeret er en del af bruger-id'et, som så bruges til at generere midlertidige ID'er. Nærhedsoplysninger på disse midlertidige id'er gemmes på en 21-dages rullende basis på enheden. Data videresendes til en server, når en bruger tester positiv. Yderligere loves TraceTogethers funktionalitet at blive suspenderet, når den pandemiske situation aftager.
Mens TraceTogether ikke er open source i sig selv, er en generisk kodebase blevet udgivet i form af OpenTrace. Denne generiske kodebase omfatter referenceimplementeringen af en Android-app, en iOS-app og en central server bygget op omkring Google Firebase. Også offentliggjort er BlueTrace protokol som danner grundlag for både TraceTogether og OpenTrace. BlueTrace-protokollen forsøger at skabe interoperabilitet på tværs af jurisdiktioner, så andre nationer kan samarbejde om disse bestræbelser.
OpenTrace kildekode på GitHub
Pris: Gratis.
3.6.
Storbritannien — NHS COVID-19
Det Forenede Kongeriges implementering tager form af NHS COVID-19 app, som i øjeblikket er i "beta-testning" og tilgængelig for beboere på Isle of Wight (og skal udvides til andre regioner i fremtiden). Appen er ikke afhængig af Google og Apples Exposure Notification API'er, men er også afhængig af Bluetooth. Ved opsætningen bliver brugerne bedt om at indtaste den første halvdel af deres pinkode, som bruges til at identificere, om der er hotspots, der bryder ud - yderligere detaljer bliver ikke spurgt, medmindre du rapporterer symptomer. Bluetooth-nærhedsdata logges i 28 dage via anonyme id'er. Appen vil også blive udgået, når pandemien er forbi. Kildekoden til appen er allerede åben og tilgængelig for inspektion.
NHS COVID-19-kildekode på GitHub
Løsninger, der bruger Google og Apples Exposure Notification API
Disse implementeringer er bygget oven på Google og Apples Exposure Notification API. Google har også udrullet en opdatering til Google Play Services, der inkluderer den nye API. Et referencedesign til en Android-app, der implementerer Exposure Notifications API, er også tilgængeligt. Apps baseret på denne API må ikke indsamle enhedsplaceringsdata. I stedet bruger API'et Bluetooth Low Energy til at registrere, om du har været i nærheden af andre, der har testet positive. API'en vil dele, hvor mange dage der er gået siden en individuel "kontakthændelse" sammen med et estimat for eksponeringstid. Bluetooth-metadata vil være AES-krypteret.
Mens i tilfældet med Google, behøver Android-brugere ikke at installere en applikation, da Exposure Notification API'en leveres gennem opdateringer til Google Play Services. Så så længe du har en Android-enhed, der kører Android 6.0 Marshmallow eller nyere, bør du have adgang til tjenesten. Alligevel vil Google bede brugerne om at downloade en relevant folkesundhedsapp, hvis en positiv kontakthændelse er blevet opdaget.
Italien — Immuni
Italiens løsning kommer i form af Immuni-appen, som forventes at se en bredere offentlig udgivelse i de kommende dage. Den er afhængig af Google og Apples eksponeringsunderretningssystem, der udnytter Bluetooth Low Energy, og der indsamles ingen geolokationsdata overhovedet.
Immuni kildekode på GitHub
Schweiz — SwissCovid DP-3T
Schweiz arbejder på en løsning kaldet Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Appen og serveren forventes begge at være open source. Appen er endnu ikke komplet og frigivet til offentligheden, men kildekoden til appen er allerede live, så den bør fungere som et fundament.
SwissCovid DP-3T Kildekode på GitHub
Dette er ikke en udtømmende liste, men beregnet til at fremhæve de løsninger, der er tilgængelige i form af open source-kode, som interesserede udviklere kan inspicere og bygge videre på.