Google, Apple annoncerer kontaktsporingsteknologi til at spore Coronavirus

MiscellaneaNov 11, 2023
click fraud protection

Google og Apple annoncerede en Contact Tracing API og Bluetooth-specifikation for at bekæmpe COVID-19 ved at advare brugere, der kan have været udsat for SARS-CoV-2.

Opdatering 6 (20/5/2020 @ 13:55 EST): Google og Apples Exposure Notification API'er er nu tilgængelige for offentlige sundhedsagenturer, så de kan implementere kontaktsporing for COVID-19.

Opdatering 5 (4/5/2020 @ 15:25 EST): Apple og Google har delt nogle skærmbilleder af Exposure Notification API og meddeler, at lokationssporing vil være forbudt.

Opdatering 4 (29/04/2020 kl. 14:30 EST): Apple og Google har udgivet en betaversion af deres Exposure Notification API til offentlige sundhedsagenturer.

Opdatering 3 (24/04/2020 @ 15:15 EST): Apple og Google omdøber Contact Tracing API til "Exposure Notification", tilføjer flere privatlivsbeskyttelser.

Opdatering 2 (24/04/2020 kl. 11:30 EST): Apple og Googles kontaktsporings-API vil gå live i næste uge og vil omfatte de fleste Huawei-enheder.

Opdatering 1 (13/04/2020 @ 17:51 EST): Under et telefonmøde med journalister afklarede Google og Apple nogle flere detaljer om, hvordan kontaktsporing vil blive udrullet for brugerne.

På grund af den vedvarende trussel fra SARS-CoV-2 er Google og Apple gået sammen om at annoncere en ny API og Bluetooth Low Energy-specifikation kaldet "Kontakt Sporing." Ideen bag kontaktsporing er at informere brugerne, hvis de for nylig har været i kontakt med en person, der er blevet positivt diagnosticeret med COVID-19. Sydkorea og Taiwan har med succes "fladet kurven ud", da de har begrænset antallet af nye tilfælde at falde under deres sundhedssystemers kapacitet ved at implementere udbredt test og kontakt sporing. Ifølge Associeret presse, er flere lande i Europa, herunder Tjekkiet, Storbritannien, Tyskland og Italien, ved at udvikle deres egne kontaktsporingsværktøjer. Apple og Google håber at styrke nationer og medicinske organisationer rundt om i verden med evnen til at spore spredningen af den nye coronavirus, men de to virksomheder anerkender også de potentielle bekymringer om privatlivets fred med denne pandemiske indeslutning metode. Det er derfor, de to virksomheder har skabt den nye API og Bluetooth-specifikation "med brugernes privatliv og sikkerhed centralt i designet."

Google og Apple udgav blogindlæg og dokumenter, der skitserer deres mål med at udrulle en ny API og Bluetooth LE-tjeneste. På grund af et presserende behov tackler begge virksomheder dette problem i to faser. Først i maj vil begge virksomheder frigive en API, der "[muliger] interoperabilitet mellem Android- og iOS-enheder ved hjælp af apps fra offentlige sundhedsmyndigheder." Disse apps vil blive gjort tilgængelige for brugere at downloade i Google Play Butik og Apple App Butik. På Android vil API'en sandsynligvis blive tilgængelig for apps gennem en opdatering til Google Play Services. For det andet vil både Google og Apple i de næste par måneder tilføje understøttelse af en ny Bluetooth Low Energy-tjeneste til Android og iOS. For iOS vil denne nye BLE-tjeneste sandsynligvis komme via en OS-opdatering, mens denne tjeneste for Android sandsynligvis vil blive tilføjet som en del af en anden opdatering til Google Play Services. Google siger, at tilføjelse af en Bluetooth LE Contact Tracing-tjeneste "er en mere robust løsning end en API og ville tillade flere individer at deltage, hvis de vælger at tilmelde sig, samt muliggøre interaktion med et bredere økosystem af apps og offentlig sundhed myndigheder."

Når en app integrerer den nye API, eller BLE-specifikationen er blevet integreret, kan Android- og iOS-brugere modtage meddelelser, hvis de for nylig har været i kontakt med en person, der er blevet diagnosticeret med COVID-19. Især vil BLE-løsningen ikke kræve, at brugeren skal have en applikation installeret (formodentlig har de bare brug for Google Play Services), men hvis de vælger at installere en af ​​de officielle apps, så kan appen informere dem om de næste trin, de skal tage, efter at de har modtaget en notifikation. Dette giver brugerne mulighed for at beslutte, om de skal selvkarantæne i 14 dage eller søge test og yderligere medicinsk intervention. Her er et eksempel på, hvad Google og Apple forestiller sig vil være muligt med denne nye Bluetooth LE-tjeneste:

En oversigt over COVID-19-kontaktsporing ved hjælp af Bluetooth Low Energy. Kilde: Google/Apple.

Her er, hvad Google siger om, hvordan de designede den nye Android Contact Tracing API for at beskytte brugernes privatliv og sikkerhed:

  • Apps, der kalder API'et via startContactTracing-metoden, er påkrævet for at få brugerens samtykke til at starte kontaktsporing. Hvis det er første gang, at API'en aktiveres, vil brugeren blive vist en dialogboks, der beder om tilladelse til at begynde at spore.
  • For at blive hvidlistet til at bruge denne API, vil apps "være forpligtet til at tidsstemple og kryptografisk underskrive nøglesættet før levering til serveren med underskrift af en autoriseret lægelig myndighed." Med andre ord vil uautoriserede COVID-19-apps ikke have tilladelse til at bruge dette API.
  • Hvis brugeren afinstallerer appen, vil stopContactTracing-metoden "automatisk blive aktiveret, og databasen og nøglerne slettes fra enheden."
  • Brugeren skal, efter at have bekræftet en positiv diagnose af COVID-19, give udtrykkeligt samtykke til at uploade 14 dages daglige sporingsnøgler. En dialog vil blive vist til brugeren, hvis appen kalder startSharingDailyTracingKeys-metoden.
  • Brugere vil blive vist hvilken dato og hvor længe de var i kontakt med en potentielt smitsom person, ned til trin på 5 minutter, men ikke hvem eller hvor kontakten fandt sted.

Sådan vil den nye BLE Contact Detection Service beskytte brugernes privatliv og sikkerhed:

  • Specifikationen kræver ikke brugerens placering eller andre personligt identificerbare oplysninger. Placeringsbrug er helt valgfrit og sker kun, efter at brugeren har givet udtrykkeligt samtykke.
  • Rolling Proximity Identifiers ændres i gennemsnit hvert 15. minut, hvilket gør det "usandsynligt, at brugerens placering kan spores via Bluetooth over tid."
  • Nærhedsidentifikatorer hentet fra andre enheder "behandles udelukkende på enheden." Det betyder, at "listen over personer, du har været i kontakt med, aldrig forlader din telefon."
  • Det er op til brugeren at beslutte, om de vil bidrage til kontaktsporing. Brugere, der er diagnosticeret med COVID-19, skal give samtykke til at dele diagnosenøgler med serveren. Der vil være gennemsigtighed omkring brugerens deltagelse i kontaktsporing, og "personer, der tester positive, identificeres ikke over for andre brugere, Google eller Apple." Faktisk vil disse oplysninger "kun blive brugt til kontaktsporing af offentlige sundhedsmyndigheder for COVID-19-pandemi ledelse."
  • Hvis du undrer dig, bør indholdsdetektionstjenesten ikke dræne batteriet på en enhed væsentligt, hvis hardwaren og operativsystemet understøtter "Bluetooth controller duplikatfiltre og andre [hardware] filtre" til "at tage højde for store mængder af annoncører i offentlige rum." Scanning er "opportunistisk", hvilket betyder, at det kan forekomme inden for eksisterende vågne- og scanningsvinduecyklusser, men vil også forekomme ved minimum hver 5. minutter.

Fordi de nye kontaktsporingsspecifikationer er designet med brugernes privatliv og sikkerhed i tankerne, kan det diskuteres, hvor effektive de vil være til at begrænse spredningen af ​​COVID-19. Ifølge Randen, kan sådanne opt-in, ikke-invasive kontaktsporingsforanstaltninger have begrænset effektivitet. Problemerne bunder i en mangel på udbredt adoption af befolkningen og et potentielt stort antal falsk-positive Bluetooth-nærhedsbegivenheder. Alligevel håber jeg, at dette nye initiativ lykkes. Det er sjældent at se Google og Apple samarbejde om noget, men desperate tider kræver desperate foranstaltninger.

Kilder: Google blogindlæg, Oversigt over COVID-19 kontaktsporing, Kontakt Tracing BLE Spec, Kontakt Tracing Kryptografi Spec, Android Contact Tracing API Spec

Opdatering 1: Flere detaljer

I et telefonmøde med journalister afklarede Google og Apple nogle punkter om den kommende Contact Tracing API (udrulning i midten af ​​maj som en del af "fase 1") og BLE Contact Detection Service (udrulning senere i år som en del af "fase 2"). Ifølge TechCrunch og Axios, vil både Contact Tracing API og BLE Contact Detection Service være tilgængelige på Android-enheder følgende opdateringer til Google Play Services – så længe Android-smartphonen kører Android 6.0 Skumfidus. Brugere behøver ikke manuelt at opdatere deres enheder eller endda opdatere deres OS, da opdateringer til Google Play Services sker lydløst i baggrunden gennem Google Play Butik.

Selvom introduktionen af ​​BLE Contact Detection Service betyder, at brugere ikke behøver at installere en applikation for at tage del i kontakt sporing, siger Google, at brugere stadig vil blive bedt om at downloade en relevant folkesundhedsapp, hvis en positiv kontaktbegivenhed har været opdaget. Dette vil hjælpe brugerne med at bestemme de næste skridt, de skal tage. Apple bemærker, at selvom data, efter at være blevet behandlet lokalt på enheden, kan blive "overført" til servere, der drives af offentlige sundhedsorganisationer rundt om i verden, vil der ikke være en centraliseret dataserver. Dette vil gøre det vanskeligt for enhver regering eller anden ondsindet aktør at udføre overvågning. Ifølge Axios, kan lande køre deres egne servere eller bruge dem fra Apple og Google. For at forhindre folk i at indsende falske positive diagnoser arbejder Apple og Google sammen med offentlige sundhedsorganisationer om en måde at bekræfte diagnoser på.

Med bekræftelsen af, at Google vil bringe kontaktsporing til Android-enheder via opdateringer til Google Play Services, hvad vil der så ske med de millioner af enheder uden Google Mobile Services? Jeg henviser selvfølgelig til de millioner af enheder i Kina og de nyere smartphone-udgivelser fra Huawei og Honor. Ifølge Randen, Google "agter at udgive en ramme, som disse virksomheder kan bruge til at replikere den sikre, anonyme sporing system udviklet af Google og Apple." Det er således op til tredjeparter at beslutte, om de vil bruge det system. Google bekræftede ikke, om dets kontaktsporingsramme vil være open source, men de sagde, at de vil tilbyde koderevisioner til virksomheder, der ønsker at indføre systemet.

Opdatering 2: Indledende udrulning, Huawei-involvering

Oprindeligt planlagt til at gå live i "midten af ​​maj", ser det ud til, at Apple og Googles kontaktsporingstidslinje er rykket op. Ifølge Thierry Breton, EU-kommissær for det indre marked, vil fase 1 af planen gå i luften den 28. april. Disse oplysninger blev givet til Mr. Breton af Apples CEO Tim Cook.

Fase 1 af kontaktsporing handler om API'er. Disse API'er vil blive brugt af udviklere, der arbejder på vegne af offentlige sundhedsagenturer, ikke tredjepartsapplikationer. API'erne vil blive gjort tilgængelige via en opdatering til Google Play Services, og de fleste enheder med Android 6.0+ og Bluetooth Low Energy kan understøtte kontaktsporing.

Selvfølgelig har nyere Huawei- og Honor-enheder ikke Google Play-tjenester, men mange ældre enheder har det stadig. TechRadar bekræfter, at disse ældre enheder, som gør ikke inkludere Huawei Mate 30, P40, Honor V30 og andre, vil blive inkluderet i udrulningen. Hvad angår de andre Huawei/Honor-enheder, sagde den tidligere artikelopdatering, at Google "agter at udgive en rammer, som disse virksomheder kunne bruge til at replikere det sikre, anonyme sporingssystem udviklet af Google og Æble."

Kilde 1: Les Echos | Via: TechCrunch | Kilde 2: TechRadar

Opdatering 3: Flere privatlivsbeskyttelser

Apple og Google omtaler nu kontaktsporingsplanen som "Exposure Notification", som de siger er en bedre beskrivelse til formålet med værktøjet. Vi har også nogle flere oplysninger om, hvordan sundhedsmyndighederne kan finjustere API'et og de beskyttelse af privatlivets fred, der vil være på plads.

API'en bruger Bluetooth til at registrere, om du har været i nærheden af ​​andre, der har testet positive, men det har potentialet til at være unøjagtigt (at opdage folk, der ikke var tæt nok på eller bagved en væg). API'en vil dele styrken af ​​Bluetooth-signalet, så sundhedsmyndighederne kan indstille deres egen tærskel for, hvad der udgør en "kontakthændelse".

API'en deler, hvor mange dage der er gået siden en individuel "kontaktbegivenhed". Det vil ikke dele den præcise tid, de to personer var i kontakt. I stedet vil den kun dele estimater af eksponeringstid, fra minimum 5 minutter til maksimalt 30 minutter, i intervaller på 5 minutter. Sundhedsmyndighederne kan bruge disse oplysninger til at ændre deres vejledning til brugere baseret på, hvor længe siden begivenheden var.

Bluetooth-metadata vil blive krypteret for at beskytte mod, at de bliver brugt til at spore personer i omvendte identifikationsangreb. Disse metadata inkluderer signalstyrke og anden information. Krypteringsalgoritmen bliver ændret til AES fra HMAC, som de brugte før. AES-kryptering kan accelereres på mange mobile enheder, hvilket gør API'en mere strømeffektiv.

Endelig er nøglerne, der bruges til at spore potentielle kontakter, nu tilfældigt genereret i stedet for at blive afledt hver 24. time fra en "sporingsnøgle", der er permanent bundet til en bestemt enhed. Dette fjerner chancen for, at en angriber med direkte adgang til en enhed kan finde ud af, hvordan nøgler genereres fra sporingsnøglen, selvom det allerede er meget, meget svært at gøre.

Kilde 1: Axios | Kilde 2: Bloomberg | Kilde 3: TechCrunch

Opdatering 4: Beta API'er tilgængelige

Apple og Google udruller deres Exposure Notification API'er (tidligere kaldet "Contact Tracing") i en privat beta, der starter i dag. Google udgiver betaopdateringen via Google Play Services, så de fungerer på enhver Android 6.0+-enhed med Bluetooth Low Energy. Folkesundhedsbureauer kan begynde at bruge disse API'er i Android Studio og begynde at teste.

Den stabile version af API'et er stadig planlagt til at blive frigivet i de kommende uger. Som de to virksomheder konsekvent har gentaget, er denne API ikke beregnet til at blive brugt af tredjepartsudviklere. Det er til offentlige sundhedsagenturer, og når arbejdet er afsluttet af udviklerne af disse agenturer, vil du downloade en app fra dem.

Kilde: Bloomberg

Opdatering 5: Skærmbilleder, ingen placeringssporing

Apple og Google fortsætter med at udgive flere oplysninger om Exposure Notification API. For det første delte virksomhederne nogle retningslinjer, som offentlige sundhedsmyndigheder skal følge for at have deres kontraktsporingsapps i de respektive app-butikker. Det er forbudt for apps at indsamle enhedsplaceringsdata, API'en er begrænset til én app pr. land, og de indsamlede data kan ikke bruges til målrettet annoncering.

API-grænsen på én app pr. land er for at reducere fragmentering, men Apple og Google vil være fleksible og arbejde med regeringer i lande, der muligvis har brug for flere apps. For eksempel lande, hvor kontaktsporing udføres regionalt eller af stater.

Apple og Google har også delt nogle mock-up screenshots af, hvordan eksponeringsmeddelelsesindstillinger og apps skal se ud. Billedet ovenfor viser den nye sektion "COVID-19 eksponeringsmeddelelser" i Google Play Services. Dette afsnit viser, om det er aktiveret, og hvilke apps der er i stand til at sende eksponeringsmeddelelser. Brugere kan starte appen herfra og se, hvor mange "eksponeringskontroller" der er blevet udført i de sidste 14 dage, slette tilfældige id'er og slå notifikationer fra.

Google delte også nogle eksempler på skærmbilleder (ovenfor) af, hvordan en app, der bruger Exposure Notification API kunne se ud. Kildekoden til denne app er blevet offentliggjort på virksomhedens Github-side hvis sundhedsmyndigheder ønsker at bruge det til at bygge apps.

Kilder: VentureBeat, 9to5Google, 9to5Google

Opdatering 6: API Live

Efter flere ugers optakt, frigiver Apple og Google nu deres Exposure Notification API'er, som offentlige sundhedsmyndigheder kan bruge. Google udruller specifikt en opdatering til Google Play Services, der inkluderer den nye API. Udviklere fra offentlige sundhedsagenturer kan nu bruge disse API'er til at implementere kontaktsporingsapps til COVID-19. Tre amerikanske stater har allerede annonceret projekter under udvikling ved hjælp af denne API. 22 lande i alt har fået adgang til API, men vi ved ikke præcis hvilke lande.

Kilde: Google, Randen