Apps zur Kontaktverfolgung im Zusammenhang mit COVID-19 werden weltweit eingesetzt, wobei Apps wie Aarogya Setu und NHS Covid-19 jetzt einen Open-Source-Ansatz verfolgen.
Das neuartige Coronavirus, auch bekannt als SARS-CoV-2, hat weltweit Chaos angerichtet. Einigen Ländern ist es gelungen, die Ausbreitung des Virus einzudämmen, aber viele andere hatten Mühe und tun immer noch ihr Bestes, um es einzudämmen. Eine der Strategien, die zur Eindämmung getestet werden, ist die Kontaktverfolgung, d. h. Ermittlung aller Personen, die kürzlich mit einer positiv auf COVID-19 getesteten Person in Kontakt gekommen sind, und anschließende Maßnahmen zur Isolierung dieser Personen. Die Ermittlung von Kontaktpersonen ist eine entscheidende Aufgabe, die richtig gemacht werden muss, da sie sich im größeren Interesse der öffentlichen Gesundheit auf die Privatsphäre und Freiheit einer Person auswirkt. Die Bedrohung der Privatsphäre war groß genug für Google und Apple kommen zusammen und arbeiten Sie an einer Kontaktverfolgungs-API und einer Bluetooth-Spezifikation zusammen, die so konzipiert ist, dass sie nur minimale Auswirkungen auf die Privatsphäre und Sicherheit der Benutzer hat. Während diese Bemühungen lobenswert sind und einige Länder sie übernommen haben, haben einige Länder auch an eigenen, ähnlichen Lösungen gearbeitet. In diesem Artikel versuchen wir, einige dieser Kontaktverfolgungslösungen aufzulisten, wobei wir uns auf diejenigen konzentrieren, deren Quellcode offen ist und der Öffentlichkeit zur Einsicht und Rückmeldung zur Verfügung steht.
Unabhängige Lösungen
Österreich – Stoppt Corona
Die österreichische Regierung hat das übernommen Stoppen Sie Corona App entwickelt in Zusammenarbeit mit dem Österreichischen Roten Kreuz. Diese App tut es nicht Verlassen Sie sich auf die Exposure Notification APIs von Google und Apple. Es gibt keine Standortverfolgung, da die App Bluetooth verwendet. Die App überwacht die Telefone, die sich dem Benutzer nähern. Wenn ein Benutzer eine COVID-19-Infektion vermutet oder positiv diagnostiziert wurde, werden die Annäherungsinformationen in eine angeblich dezentrale Datenbank hochgeladen. Benachrichtigungen werden an alle Benutzer gesendet, die eine Annäherungshistorie hatten. Berichten zufolge werden keine personenbezogenen Daten erfasst. Wenn ein Benutzer das Tracking ablehnen möchte, kann er einfach die App und die Daten löschen. Für noch mehr Sicherheit ist die App auch Open Source.
Stoppen Sie den Corona-Quellcode auf GitHub
Australien – COVIDSafe
Australien hat das übernommen COVIDSafe App. Diese App tut es nicht Verlassen Sie sich auf die Exposure Notification APIs von Google und Apple. Bei der Installation müssen Benutzer ihre registrieren Name/Pseudonym, Altersgruppe, Postleitzahl und Telefonnummer, die alle verschlüsselt auf einem staatlichen Server gespeichert werden Server. Für die Annäherungsverfolgung nutzt die App Bluetooth und tauscht anonymisierte IDs aus, die alle zwei Stunden geändert werden. Diese IDs werden verschlüsselt auf Telefonen gespeichert und nach 21 Tagen gelöscht. Wenn jemand positiv auf COVID-19 getestet wird, erhält er von den Gesundheitsbehörden einen eindeutigen Code, der dann die Liste der anonymisierten Ausweise der letzten 21 Tage hochlädt. Auch die App ist Open Source, sodass die Transparenz gewahrt bleibt.
COVIDSafe-Quellcode auf GitHub
Tschechische Republik – eRouska
Die Tschechische Republik hat das übernommen eRouska App. Diese App tut es nicht Verlassen Sie sich auf die Exposure Notification APIs von Google und Apple. Ähnlich wie bei anderen Implementierungen Nur über Bluetooth scannt eRouska den Bereich nach anderen eRouska-App-Benutzern in der Nähe und speichert die Begegnungsdaten lokal auf dem Gerät. Wenn ein Benutzer positiv getestet wird, wird der Benutzer von Gesundheitsbehörden kontaktiert, um die Begegnungsdaten einvernehmlich hochzuladen. Die gesendete Geräte-ID ändert sich stündlich und das Scannen kann auch manuell ein- und ausgeschaltet werden. Benutzer können sich dafür entscheiden, alle erfassten Daten, einschließlich der Telefonnummer, zu entfernen. Auch die App ist Open Source.
eRouska-Quellcode auf GitHub
Kostenlos.
4.3.
Indien – Aarogya Setu
Die indische Regierung hat beschlossen, dies zu tun nicht Übernahme der Lösung von Google und Apple, sondern Entwicklung einer eigenen Lösung in Form von Aarogya Setu-App. Sobald ein Benutzer sein Konto in der Anwendung einrichtet, fordert die App weiterhin Bluetooth-Zugriff und Standortdaten an. Benutzer müssen außerdem Informationen wie Name, Alter, Geschlecht, Gesundheitszustand usw. angeben, um ein Benutzerprofil zu erstellen. Es wird ein Selbsteinschätzungstest vorgeschlagen, bei dem der Benutzer neben anderen Fragen gefragt wird, ob er Symptome von COVID-19 aufweist. Wenn zwei Smartphones mit der Aarogya Setu-App einander nahe kommen, sammelt die App Informationen. Wenn einer der Kontakte positiv getestet wurde, alarmiert die App die andere Person und gibt Anweisungen, die bei der Selbstisolation helfen.
Die Nutzung dieser Aarogya Setu-App wurde zunächst von der Regierung stark gefördert und dann in mehreren Fällen vorgeschrieben. Indien hat jedoch nicht die beste Einstellung zum Datenschutz der Bürger, da es dem Land an wichtigen Gesetzen zur Regulierung solcher Anwendungsfälle mangelt. Da die App Standortdaten sammelt und teilt es mit der Regierung– ein Ansatz, den viele für übertrieben und unnötig hielten – geriet ins Rampenlicht zu aufdringlich in die Privatsphäre der Benutzer und dafür, dass es in diesem Prozess keine Transparenz und Rechenschaftspflicht gibt. Was folgte, war Kritik an diesen Ansätzen.
Eine gute Nachricht in diesem Zusammenhang ist, dass die Aarogya Setu-App für Android Open Source ist. Der Quellcode für die Android-App ist jetzt verfügbar auf GitHub. Besorgte Behörden versprechen, dass der Quellcode für die iOS-Version und die KaiOS-Version der App verfügbar sein wird auch „zu gegebener Zeit“ als Open-Source-Lösung bereitgestellt werden". Die Datenschutzerklärung der App lautete ebenfalls aktualisiert, um ein Reverse Engineering der App zu ermöglichen und der Regierung Fehler melden. Darüber hinaus gibt es auch eine Bug-Bounty-Programm vorhanden und lädt Entwickler ein, Schwachstellen, Fehler und Codeverbesserungen zu identifizieren.
Aarogya Setu-Quellcode auf GitHub
Das alles sind auf jeden Fall gute Nachrichten, denn der Mangel an Transparenz war ziemlich alarmierend. Es gibt jedoch noch Fragen zur undurchsichtigen Back-End-Infrastruktur und zum serverseitigen Code Berichte legen nahe dass auch dies nächste Woche Open-Source sein wird.
Kostenlos.
3.3.
Singapur – TraceTogether basierend auf dem BlueTrace-Protokoll
Die Umsetzung in Singapur erfolgt in Form von TraceTogether, was auch ist nicht ist auf die Exposure Notification APIs von Google und Apple angewiesen, ist aber auch nur Bluetooth und nicht standortbasiert. Die App benötigt zum Starten lediglich eine Handynummer und es werden keine weiteren persönlichen Daten erfasst. Die Nummer ist Teil der Benutzer-ID, die dann zur Generierung temporärer IDs verwendet wird. Näherungsinformationen zu diesen temporären IDs werden fortlaufend 21 Tage lang auf dem Gerät gespeichert. Wenn ein Benutzer einen positiven Test durchführt, werden die Daten an einen Server weitergeleitet. Darüber hinaus wird versprochen, die Funktionalität von TraceTogether einzustellen, wenn die Pandemiesituation nachlässt.
Obwohl TraceTogether selbst kein Open Source ist, wurde mit OpenTrace eine generische Codebasis veröffentlicht. Diese generische Codebasis umfasst die Referenzimplementierung einer Android-App, einer iOS-App und eines zentralen Servers, der auf Google Firebase basiert. Ebenfalls veröffentlicht ist die BlueTrace-Protokoll Dies bildet die Grundlage sowohl für TraceTogether als auch für OpenTrace. Das BlueTrace-Protokoll versucht, gebietsübergreifende Interoperabilität zu schaffen, damit andere Nationen bei diesen Bemühungen zusammenarbeiten können.
OpenTrace-Quellcode auf GitHub
Kostenlos.
3.6.
Großbritannien – NHS COVID-19
Die Umsetzung durch das Vereinigte Königreich erfolgt in Form von NHS COVID-19 App, die sich derzeit im „Betatest“ befindet und für Bewohner der Isle of Wight verfügbar ist (und in Zukunft auf andere Regionen ausgeweitet werden soll). Die App ist nicht ist auf die Exposure Notification APIs von Google und Apple angewiesen, basiert aber auch auf Bluetooth. Bei der Einrichtung werden Benutzer aufgefordert, die erste Hälfte ihres PIN-Codes einzugeben, der zur Identifizierung von Hotspot-Ausbrüchen verwendet wird. Weitere Details werden nicht abgefragt, es sei denn, Sie melden Symptome. Bluetooth-Proximity-Daten werden 28 Tage lang über anonyme IDs protokolliert. Auch die App wird nach Ende der Pandemie-Situation eingestellt. Der Quellcode der App ist bereits geöffnet und kann eingesehen werden.
NHS COVID-19-Quellcode auf GitHub
Lösungen, die die Exposure Notification API von Google und Apple nutzen
Diese Implementierungen basieren auf der Exposure Notification API von Google und Apple. Google hat außerdem ein Update für die Google Play-Dienste bereitgestellt, das die neue API enthält. Ein Referenzdesign für eine Android-App, die die Exposure Notifications API implementiert, ist ebenfalls verfügbar. Apps, die auf dieser API basieren, dürfen keine Gerätestandortdaten sammeln. Stattdessen nutzt die API Bluetooth Low Energy, um zu erkennen, ob Sie sich in der Nähe von positiv getesteten Personen aufgehalten haben. Die API teilt zusammen mit einer Schätzung der Expositionszeit mit, wie viele Tage seit einem einzelnen „Kontaktereignis“ vergangen sind. Bluetooth-Metadaten werden AES-verschlüsselt.
Im Fall von Google hingegen müssen Android-Benutzer keine Anwendung installieren, da die Exposure Notification API über Updates für die Google Play-Dienste bereitgestellt wird. Solange Sie also ein Android-Gerät mit Android 6.0 Marshmallow oder höher haben, sollten Sie Zugriff auf den Dienst haben. Dennoch wird Google Nutzer auffordern, eine entsprechende App für die öffentliche Gesundheit herunterzuladen, wenn ein positives Kontaktereignis festgestellt wurde.
Italien – Immuni
Italiens Lösung kommt in Form der Immuni-App, die in den kommenden Tagen voraussichtlich einer breiteren Öffentlichkeit zugänglich gemacht wird. Es basiert auf dem Belichtungsbenachrichtigungssystem von Google und Apple, nutzt Bluetooth Low Energy und es werden keinerlei Geolokalisierungsdaten erfasst.
Immuni-Quellcode auf GitHub
Schweiz – SwissCovid DP-3T
Die Schweiz arbeitet an einer Lösung namens Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Es wird erwartet, dass sowohl die App als auch der Server Open Source sind. Die App ist noch nicht vollständig und für die Öffentlichkeit freigegeben, aber der Quellcode für die App ist bereits live und sollte daher als Grundlage dienen.
SwissCovid DP-3T-Quellcode auf GitHub
Dies ist keine erschöpfende Liste, sondern soll die Lösungen hervorheben, die in Form von Open-Source-Code verfügbar sind, damit interessierte Entwickler sie prüfen und darauf aufbauen können.