Google y Apple anunciaron una API de seguimiento de contactos y una especificación de Bluetooth para combatir el COVID-19 advirtiendo a los usuarios que pueden haber estado expuestos al SARS-CoV-2.
Actualización 6 (20/05/2020 a las 1:55 p.m. EST): Las API de notificación de exposición de Google y Apple ahora están disponibles para las agencias de salud pública para que puedan implementar el rastreo de contactos para COVID-19.
Actualización 5 (4/5/2020 a las 3:25 p.m. EST): Apple y Google han compartido algunas capturas de pantalla de la API de notificación de exposición y anuncian que el seguimiento de la ubicación estará prohibido.
Actualización 4 (29/04/2020 a las 2:30 p.m. EST): Apple y Google han lanzado una versión beta de su API de notificación de exposición para agencias de salud pública.
Actualización 3 (24/04/2020 a las 3:15 p.m. EST): Apple y Google están cambiando el nombre de la API de seguimiento de contactos a "Notificación de exposición" y agrega más protecciones de privacidad.
Actualización 2 (24/04/2020 a las 11:30 a. m. EST): La API de rastreo de contactos de Apple y Google estará disponible la próxima semana e incluirá la mayoría de los dispositivos Huawei.
Actualización 1 (13/04/2020 a las 5:51 p.m. EST): Durante una conferencia telefónica con periodistas, Google y Apple aclararon algunos detalles más sobre cómo se implementará el rastreo de contactos para los usuarios.
Debido a la amenaza constante que representa el SARS-CoV-2, Google y Apple se han asociado para anunciar una nueva especificación API y Bluetooth de bajo consumo llamada "Contact Seguimiento". La idea detrás del seguimiento de contactos es informar a los usuarios si han estado en contacto recientemente con alguien a quien se le ha diagnosticado positivamente COVID-19. Corea del Sur y Taiwán han "aplanado la curva" con éxito, ya que han limitado el número de casos nuevos. caer por debajo de la capacidad de sus sistemas de salud, implementando pruebas generalizadas y contacto rastreo. De acuerdo con la Associated Press, varios países de Europa, incluidos la República Checa, el Reino Unido, Alemania e Italia, están desarrollando sus propias herramientas de rastreo de contactos. Apple y Google esperan empoderar a naciones y organizaciones médicas de todo el mundo con la capacidad de rastrear la propagación de el nuevo coronavirus, pero las dos compañías también reconocen los posibles problemas de privacidad con esta contención de la pandemia. método. Es por eso que las dos compañías han creado la nueva especificación API y Bluetooth "con la privacidad y seguridad del usuario en el centro del diseño".
Google y Apple publicaron publicaciones de blog y documentos que describen sus objetivos para implementar una nueva API y un servicio Bluetooth LE. Debido a la urgente necesidad, ambas empresas están abordando este problema en dos etapas. Primero, en mayo, ambas compañías lanzarán una API que "[permite] la interoperabilidad entre dispositivos Android e iOS mediante aplicaciones de las autoridades de salud pública". Estas aplicaciones estarán disponibles para que los usuarios las descarguen en Google Play Store y Apple App Almacenar. En Android, la API probablemente estará disponible para aplicaciones a través de una actualización de los Servicios de Google Play. En segundo lugar, en los próximos meses, tanto Google como Apple agregarán soporte para un nuevo servicio Bluetooth Low Energy en Android e iOS. Para iOS, este nuevo servicio BLE probablemente vendrá a través de una actualización del sistema operativo, mientras que para Android, este servicio probablemente se agregará como parte de otra actualización de los Servicios de Google Play. Google dice que agregar un servicio de rastreo de contactos Bluetooth LE "es una solución más sólida que una API y permitiría que más personas participar, si deciden participar, así como permitir la interacción con un ecosistema más amplio de aplicaciones y servicios de salud gubernamentales. autoridades."
Una vez que una aplicación integra la nueva API o se ha integrado la especificación BLE, los usuarios de Android e iOS pueden recibir notificaciones si han estado en contacto recientemente con alguien a quien se le ha diagnosticado COVID-19. En particular, la solución BLE no requerirá que el usuario tenga una aplicación instalada (presumiblemente solo necesita los servicios de Google Play), pero Si eligen instalar una de las aplicaciones oficiales, la aplicación puede informarles sobre los siguientes pasos a seguir después de recibir una notificación. Esto permitirá a los usuarios decidir si necesitan ponerse en cuarentena durante 14 días o solicitar pruebas y más intervención médica. Aquí hay un ejemplo de flujo de lo que Google y Apple imaginan que será posible con este nuevo servicio Bluetooth LE:
Una descripción general del rastreo de contactos de COVID-19 mediante Bluetooth Low Energy. Fuente: Google/Apple.
Esto es lo que dice Google sobre cómo diseñaron la nueva API de seguimiento de contactos de Android para proteger la privacidad y seguridad del usuario:
- Las aplicaciones que llaman a la API a través del método startContactTracing deben obtener el consentimiento del usuario para iniciar el seguimiento de contactos. Si es la primera vez que se invoca la API, se mostrará al usuario un cuadro de diálogo solicitando permiso para iniciar el seguimiento.
- Para estar en la lista blanca para usar esta API, las aplicaciones "deberán poner una marca de tiempo y firmar criptográficamente el conjunto de claves antes de la entrega a el servidor con la firma de una autoridad médica autorizada". En otras palabras, las aplicaciones COVID-19 no autorizadas no podrán utilizar este API.
- Si el usuario desinstala la aplicación, el método stopContactTracing "se invocará automáticamente y la base de datos y las claves se borrarán del dispositivo".
- El usuario, después de haber confirmado un diagnóstico positivo de COVID-19, deberá otorgar su consentimiento explícito para cargar 14 días de claves de seguimiento diarias. Se mostrará un cuadro de diálogo al usuario si la aplicación llama al método startSharingDailyTracingKeys.
- A los usuarios se les mostrará qué fecha y durante cuánto tiempo estuvieron en contacto con una persona potencialmente contagiosa, en incrementos de 5 minutos, pero no quién ni dónde ocurrió el contacto.
Así es como el nuevo Servicio de Detección de Contactos BLE protegerá la privacidad y seguridad del usuario:
- La especificación no requiere la ubicación del usuario ni ninguna otra información de identificación personal. El uso de la ubicación es completamente opcional y solo se realiza después de que el usuario proporcione su consentimiento explícito.
- Los identificadores de proximidad móviles se cambian cada 15 minutos en promedio, lo que hace que sea "poco probable que la ubicación del usuario pueda rastrearse a través de Bluetooth con el tiempo".
- Los identificadores de proximidad recuperados de otros dispositivos "se procesan exclusivamente en el dispositivo". Esto significa que "la lista de personas con las que has estado en contacto nunca sale de tu teléfono".
- Depende del usuario decidir si quiere contribuir al rastreo de contactos. Los usuarios a los que se les diagnostique COVID-19 deben dar su consentimiento para compartir claves de diagnóstico con el servidor. Habrá transparencia sobre la participación del usuario en el rastreo de contactos y "las personas que dan positivo no serán identificadas por otros usuarios". Google o Apple". De hecho, esta información "sólo será utilizada para el rastreo de contactos por parte de las autoridades de salud pública durante la pandemia de COVID-19. gestión."
- En caso de que se lo pregunte, el Servicio de Detección de Contenido no debería agotar significativamente la batería de un dispositivo si el hardware y el sistema operativo admite "filtros duplicados del controlador Bluetooth y otros filtros [de hardware]" para "dar cuenta de grandes volúmenes de anunciantes en espacios públicos". El escaneo es "oportunista", lo que significa que puede ocurrir dentro de los ciclos de ventana de escaneo y activación existentes, pero también ocurrirá como mínimo cada 5 minutos.
Debido a que las nuevas especificaciones de seguimiento de contactos están diseñadas teniendo en cuenta la privacidad y seguridad del usuario, es discutible qué tan efectivas serán para limitar la propagación de COVID-19. De acuerdo a El borde, estas medidas de rastreo de contactos no invasivas y voluntarias pueden tener una eficacia limitada. Los problemas se reducen a una falta de adopción generalizada por parte de la población y a una cantidad potencialmente grande de eventos de proximidad de Bluetooth falsos positivos. Aun así, espero que esta nueva iniciativa tenga éxito. Es raro ver a Google y Apple colaborar en algo, pero tiempos desesperados exigen medidas desesperadas.
Fuentes: Publicación de blog de Google, Descripción general del rastreo de contactos de COVID-19, Especificaciones BLE de seguimiento de contactos, Especificaciones de criptografía de seguimiento de contactos, Especificaciones de la API de seguimiento de contactos de Android
Actualización 1: más detalles
En una conferencia telefónica con periodistas, Google y Apple aclararon algunos puntos sobre la próxima API de seguimiento de contactos (que se implementará a mediados de mayo como parte de la "fase 1") y el servicio de detección de contactos BLE (que se implementará a finales de este año como parte de "fase 2"). De acuerdo a TechCrunch y axios, tanto la API de seguimiento de contactos como el servicio de detección de contactos BLE estarán disponibles en dispositivos Android siguientes actualizaciones de Google Play Services, siempre que el teléfono inteligente Android ejecute Android 6.0 Malvavisco. Los usuarios no necesitarán actualizar manualmente sus dispositivos ni siquiera actualizar su sistema operativo, ya que las actualizaciones de los servicios de Google Play se realizan silenciosamente en segundo plano a través de Google Play Store.
Aunque la introducción del servicio de detección de contactos BLE significa que los usuarios no necesitarán instalar una aplicación para participar en el contacto. rastreo, Google dice que se seguirá solicitando a los usuarios que descarguen una aplicación de salud pública relevante si se ha producido un evento de contacto positivo. detectado. Esto ayudará a los usuarios a determinar los próximos pasos que deben seguir. Apple señala que si bien los datos, después de ser procesados localmente en el dispositivo, pueden "transmitirse" a servidores administrados por organizaciones de salud pública en todo el mundo, no habrá un servidor de datos centralizado. Esto dificultará que cualquier gobierno u otro actor malintencionado lleve a cabo la vigilancia. De acuerdo a axios, los países pueden ejecutar sus propios servidores o utilizar los de Apple y Google. Para evitar que las personas envíen diagnósticos falsos positivos, Apple y Google están trabajando con organizaciones de salud pública para encontrar una forma de confirmar los diagnósticos.
Con la confirmación de que Google llevará el rastreo de contactos a dispositivos Android mediante actualizaciones de los servicios de Google Play, ¿qué pasará con los millones de dispositivos sin los servicios móviles de Google? Me refiero, por supuesto, a los millones de dispositivos en China y a los nuevos lanzamientos de teléfonos inteligentes de Huawei y Honor. De acuerdo a El borde, Google "tiene la intención de publicar un marco que esas empresas podrían utilizar para replicar el seguimiento seguro y anónimo sistema desarrollado por Google y Apple". Por lo tanto, depende de terceros decidir si quieren utilizar ese sistema. Google no confirmó si su marco de seguimiento de contactos será de código abierto, pero sí dijo que ofrecerá auditorías de código a las empresas que quieran adoptar el sistema.
Actualización 2: Lanzamiento inicial, participación de Huawei
Originalmente planeado para entrar en funcionamiento a "mediados de mayo", parece que el cronograma de seguimiento de contactos de Apple y Google ha avanzado. Según Thierry Breton, comisario europeo de Mercado Interior, la fase 1 del plan entrará en funcionamiento el 28 de abril. Esta información se la dio al Sr. Breton el director ejecutivo de Apple, Tim Cook.
La fase 1 del seguimiento de contactos tiene que ver con las API. Estas API serán utilizadas por desarrolladores que trabajan en nombre de agencias de salud pública, no por aplicaciones de terceros. Las API estarán disponibles a través de una actualización de Google Play Services y la mayoría de los dispositivos con Android 6.0+ y Bluetooth Low Energy pueden admitir el rastreo de contactos.
Por supuesto, los dispositivos Huawei y Honor recientes no tienen los servicios de Google Play, pero muchos dispositivos más antiguos todavía los tienen. TecnologíaRadar confirma que estos dispositivos más antiguos, que no no incluidos Huawei Mate 30, P40, Honor V30 y otros, se incluirán en el lanzamiento. En cuanto a los otros dispositivos Huawei/Honor, la actualización del artículo anterior decía que Google "tiene la intención de publicar un marco que esas empresas podrían utilizar para replicar el sistema de seguimiento anónimo y seguro desarrollado por Google y Manzana."
Fuente 1: Los Ecos | A través de: TechCrunch | Fuente 2: TecnologíaRadar
Actualización 3: Más protecciones de privacidad
Apple y Google ahora se refieren al plan de seguimiento de contactos como "Notificación de exposición", que, según dicen, es una mejor descripción para el propósito de la herramienta. También tenemos más información sobre cómo las autoridades sanitarias pueden ajustar la API y las protecciones de privacidad que se implementarán.
La API utiliza Bluetooth para detectar si ha estado cerca de otras personas que dieron positivo. pero eso tiene el potencial de ser inexacto (detectar personas que no estaban lo suficientemente cerca o detrás de un muro). La API compartirá la intensidad de la señal Bluetooth para que las autoridades sanitarias puedan establecer su propio umbral de lo que constituye un "evento de contacto".
La API compartirá cuántos días han pasado desde un "evento de contacto" individual. No compartirá el tiempo exacto que las dos personas estuvieron en contacto. Más bien, solo compartirá estimaciones del tiempo de exposición, desde un mínimo de 5 minutos hasta un máximo de 30 minutos, en incrementos de 5 minutos. Las autoridades sanitarias pueden utilizar esta información para modificar sus orientaciones para los usuarios en función de la antigüedad del evento.
Los metadatos de Bluetooth se cifrarán para protegerlos contra su uso para rastrear personas en ataques de identificación inversa. Estos metadatos incluyen la intensidad de la señal y otra información. El algoritmo de cifrado se está cambiando a AES desde HMAC que usaban antes. El cifrado AES se puede acelerar en muchos dispositivos móviles, lo que hace que la API sea más eficiente energéticamente.
Por último, las claves utilizadas para rastrear contactos potenciales ahora se generan aleatoriamente en lugar de derivarse cada 24 horas de una "clave de rastreo" que está permanentemente vinculada a un dispositivo en particular. Esto elimina la posibilidad de que un atacante con acceso directo a un dispositivo pueda descubrir cómo se generan las claves a partir de la clave de rastreo, aunque eso ya es muy, muy difícil de hacer.
Fuente 1: axios | Fuente 2: Bloomberg | Fuente 3: TechCrunch
Actualización 4: API Beta disponibles
Apple y Google están implementando sus API de notificación de exposición (anteriormente llamadas "rastreo de contactos") en una versión beta privada a partir de hoy. Google está lanzando la actualización beta a través de Google Play Services, por lo que funcionarán en cualquier dispositivo Android 6.0+ con Bluetooth Low Energy. Las agencias de salud pública pueden comenzar a usar estas API en Android Studio y comenzar a realizar pruebas.
Aún está previsto que la versión estable de la API se lance en las próximas semanas. Como las dos empresas han reiterado constantemente, esta API no está destinada a ser utilizada por desarrolladores externos. Es para agencias de salud pública, y cuando los desarrolladores de estas agencias hayan completado el trabajo, descargará una aplicación de ellos.
Fuente: Bloomberg
Actualización 5: capturas de pantalla, sin seguimiento de ubicación
Apple y Google continúan publicando más información sobre la API de notificación de exposición. Primero, las empresas compartieron algunas pautas que las autoridades de salud pública deberán seguir para tener sus aplicaciones de rastreo de contratos en las respectivas tiendas de aplicaciones. Las aplicaciones tienen prohibido recopilar datos de ubicación del dispositivo, la API está limitada a una aplicación por país y los datos recopilados no se pueden utilizar para publicidad dirigida.
El límite de API de una aplicación por país tiene como objetivo reducir la fragmentación, pero Apple y Google serán flexibles y trabajarán con los gobiernos de países que puedan necesitar múltiples aplicaciones. Por ejemplo, países donde el rastreo de contactos se realiza a nivel regional o por estados.
Apple y Google también han compartido algunas capturas de pantalla simuladas de cómo deberían verse las configuraciones y aplicaciones de notificación de exposición. La imagen de arriba muestra la nueva sección "Notificaciones de exposición a COVID-19" en Servicios de Google Play. Esta sección muestra si está habilitado y qué aplicaciones pueden enviar notificaciones de exposición. Los usuarios pueden iniciar la aplicación desde aquí y ver cuántas "verificaciones de exposición" se han realizado en los últimos 14 días, eliminar identificaciones aleatorias y desactivar las notificaciones.
Google también compartió algunas capturas de pantalla de muestra (arriba) de cómo podría verse una aplicación que utiliza la API de notificación de exposición. El código fuente de esta aplicación ha sido publicado en la página de Github de la empresa si las agencias de salud desean utilizarlo para crear aplicaciones.
Fuentes: VentureBeat, 9to5Google, 9to5Google
Actualización 6: API en vivo
Después de varias semanas de preparación, Apple y Google ahora están lanzando sus API de notificación de exposición para que las utilicen las agencias de salud pública. Google, específicamente, está lanzando una actualización de los servicios de Google Play que incluye la nueva API. Los desarrolladores de agencias de salud pública ahora pueden utilizar estas API para implementar aplicaciones de rastreo de contactos para COVID-19. Tres estados de EE. UU. ya han anunciado proyectos en desarrollo utilizando esta API. 22 países en total han recibido acceso a la API, pero no sabemos exactamente qué países.
Fuente: Google, El borde