Google ja Apple julkistivat Contact Tracing -teknologian koronaviruksen seurantaan

SekalaistaNov 11, 2023

Google ja Apple julkistivat Contact Tracing API: n ja Bluetooth-spesifikaation COVID-19:n torjumiseksi varoittamalla käyttäjiä, jotka ovat saattaneet altistua SARS-CoV-2:lle.

Päivitys 6 (20.5.2020 klo 13.55 EST): Googlen ja Applen altistumisilmoitussovellusliittymät ovat nyt kansanterveysvirastojen saatavilla, jotta ne voivat ottaa käyttöön COVID-19-kontaktien jäljityksen.

Päivitys 5 (4.5.2020 klo 15.25 EST): Apple ja Google ovat jakaneet joitakin kuvakaappauksia Exposure Notification API: sta ja ilmoittaneet, että sijainnin seuranta kielletään.

Päivitys 4 (29.4.2020 klo 14.30 EST): Apple ja Google ovat julkaisseet Exposure Notification API -sovellusliittymän beta-version kansanterveysvirastoille.

Päivitys 3 (24.4.2020 klo 15.15 EST): Apple ja Google nimeävät Contact Tracing API: n uudelleen "Altistumisilmoitukseksi", mikä lisää tietosuojaa.

Päivitys 2 (24.4.2020 klo 11.30 EST): Applen ja Googlen kontaktien jäljityssovellusliittymä otetaan käyttöön ensi viikolla, ja se sisältää useimmat Huawei-laitteet.

Päivitys 1 (13.4.2020 klo 17.51 ​​EST): Toimittajien kanssa käydyn neuvottelupuhelun aikana Google ja Apple selvensivät lisätietoja siitä, kuinka Contact Tracing otetaan käyttöön käyttäjille.

SARS-CoV-2:n aiheuttaman jatkuvan uhan vuoksi Google ja Apple ovat tehneet yhteistyötä julkistaakseen uuden API- ja Bluetooth Low Energy -määrityksen nimeltä "Ota yhteyttä" Jäljitys." Kontaktien jäljityksen ideana on ilmoittaa käyttäjille, jos he ovat äskettäin olleet yhteydessä johonkin, jolla on positiivinen diagnoosi COVID 19. Etelä-Korea ja Taiwan ovat onnistuneesti "tasoittaneet käyrää", koska ne ovat rajoittaneet uusien tapausten määrää alittaa terveydenhuoltojärjestelmiensä kapasiteetin ottamalla käyttöön laajaa testausta ja yhteydenpitoa jäljittäminen. Mukaan Associated Press, useat Euroopan maat, mukaan lukien Tšekki, Iso-Britannia, Saksa ja Italia, kehittävät omia kontaktien jäljitystyökalujaan. Apple ja Google toivovat antavansa kansoille ja lääketieteellisille organisaatioille ympäri maailmaa kyvyn jäljittää taudin leviämistä uusi koronavirus, mutta molemmat yhtiöt tunnustavat myös tämän pandemian hallinnan mahdolliset tietosuojaongelmat menetelmä. Siksi molemmat yhtiöt ovat luoneet uuden API- ja Bluetooth-spesifikaation, "joiden yksityisyys ja turvallisuus ovat suunnittelun keskeisiä".

Google ja Apple julkaisivat blogikirjoituksia ja asiakirjoja, joissa kerrotaan niiden tavoitteista ottaa käyttöön uusi API- ja Bluetooth LE -palvelu. Kiireellisestä tarpeesta johtuen molemmat yritykset käsittelevät tätä ongelmaa kahdessa vaiheessa. Ensinnäkin toukokuussa molemmat yhtiöt julkaisevat API: n, joka "[mahdollistaa] yhteentoimivuuden Android- ja iOS-laitteiden välillä sovelluksia käyttäen kansanterveysviranomaisilta." Nämä sovellukset ovat käyttäjien ladattavissa Google Play Kaupasta ja Apple Appista Store. Androidissa API tulee todennäköisesti saataville sovelluksille Google Play -palveluiden päivityksen kautta. Toiseksi seuraavien kuukausien aikana sekä Google että Apple lisäävät tuen uudelle Bluetooth Low Energy -palvelulle Android- ja iOS-laitteille. iOS: lle tämä uusi BLE-palvelu tulee todennäköisesti käyttöjärjestelmäpäivityksen kautta, kun taas Androidille tämä palvelu lisätään todennäköisesti osana toista Google Play -palveluiden päivitystä. Google sanoo, että Bluetooth LE Contact Tracing -palvelun lisääminen "on tehokkaampi ratkaisu kuin API ja mahdollistaisi useamman henkilön osallistua, jos he haluavat osallistua, sekä mahdollistaa vuorovaikutus laajemman sovellusekosysteemin ja valtion terveydenhuollon kanssa viranomaiset."

Kun sovellus integroi uuden APIn tai BLE-spesifikaatio on integroitu, Android- ja iOS-käyttäjät voivat tehdä sen saada ilmoituksia, jos he ovat äskettäin olleet yhteydessä johonkin, jolla on diagnosoitu COVID 19. Erityisesti BLE-ratkaisu ei vaadi käyttäjältä sovelluksen asentamista (oletettavasti he tarvitsevat vain Google Play -palveluita), mutta jos he päättävät asentaa jonkin virallisista sovelluksista, sovellus voi kertoa heille seuraavista vaiheista sen jälkeen, kun he ovat saaneet ilmoitus. Näin käyttäjät voivat päättää, onko heidän asetettava itsekaranteeniin 14 päivää vai hakeuduttava testaukseen ja lisähoitoon. Tässä on esimerkki siitä, mitä Google ja Apple kuvittelevat tämän uuden Bluetooth LE -palvelun avulla:

Yleiskatsaus COVID-19-kontaktien jäljittämiseen Bluetooth Low Energyn avulla. Lähde: Google/Apple.

Tässä on mitä Google sanoo siitä, kuinka he suunnittelivat uuden Android Contact Tracing APIn suojaamaan käyttäjien yksityisyyttä ja turvallisuutta:

  • Sovellusten, jotka kutsuvat API: ta startContactTracing-menetelmän kautta, on saatava käyttäjän suostumus kontaktien jäljityksen aloittamiseen. Jos tämä on ensimmäinen kerta, kun API kutsutaan, käyttäjälle näytetään valintaikkuna, jossa pyydetään lupaa jäljityksen aloittamiseen.
  • Jotta sovellukset voidaan lisätä sallittujen luetteloon käyttämään tätä sovellusliittymää, niiden "on tehtävä aikaleima ja allekirjoitettava salausavainsarja ennen niiden toimittamista palvelimelle valtuutetun lääketieteellisen viranomaisen allekirjoituksella." Toisin sanoen luvattomat COVID-19-sovellukset eivät saa käyttää tätä API.
  • Jos käyttäjä poistaa sovelluksen, stopContactTracing-menetelmä "käynnistetään automaattisesti ja tietokanta ja avaimet pyyhitään laitteesta".
  • Vahvistettuaan positiivisen COVID-19-diagnoosin käyttäjän on annettava nimenomainen suostumus 14 päivän päivittäisten jäljitysavainten lataamiseen. Käyttäjälle näytetään valintaikkuna, jos sovellus kutsuu startSharingDailyTracingKeys-menetelmää.
  • Käyttäjille näytetään 5 minuutin välein, milloin ja kuinka kauan he olivat olleet yhteydessä mahdollisesti tarttuvaan henkilöön, mutta ei ketä tai missä kontakti tapahtui.

Näin uusi BLE Contact Detection Service suojaa käyttäjien yksityisyyttä ja turvallisuutta:

  • Tekniset tiedot eivät vaadi käyttäjän sijaintia tai muita henkilökohtaisia ​​tunnistetietoja. Sijainnin käyttö on täysin valinnaista, ja se tapahtuu vasta, kun käyttäjä on antanut nimenomaisen suostumuksen.
  • Rolling Proximity Tunnisteet vaihdetaan keskimäärin 15 minuutin välein, mikä tekee "epätodennäköiseksi, että käyttäjän sijaintia voidaan seurata Bluetoothin kautta ajan mittaan".
  • Muilta laitteilta haetut läheisyystunnisteet "käsitellään yksinomaan laitteessa". Tämä tarkoittaa, että "luettelo ihmisistä, joihin olet ollut yhteydessä, ei koskaan poistu puhelimestasi".
  • Käyttäjä voi päättää, haluaako hän osallistua kontaktien jäljittämiseen. Käyttäjien, joilla on diagnosoitu COVID-19, on suostuttava diagnoosiavainten jakamiseen palvelimen kanssa. Käyttäjän osallistuminen kontaktien jäljittämiseen on avoimuutta, ja "positiivisen testin saaneita ihmisiä ei tunnisteta muille käyttäjille, Google tai Apple." Itse asiassa kansanterveysviranomaiset käyttävät näitä tietoja vain kontaktien jäljittämiseen COVID-19-pandemian vuoksi hallinta."
  • Jos mietit, sisällöntunnistuspalvelun ei pitäisi kuluttaa merkittävästi laitteen akkua, jos laitteisto ja käyttöjärjestelmä tukee "Bluetooth-ohjaimen kaksoissuodattimia ja muita [laitteisto]suodattimia" "ottaakseen huomioon suuria määriä mainostajia julkisissa tiloissa". Skannaus on "opportunistista", mikä tarkoittaa, että se voi tapahtua olemassa olevien herätys- ja tarkistusikkunajaksojen sisällä, mutta myös vähintään joka 5. pöytäkirja.

Koska uudet Contact Tracingin tekniset tiedot on suunniteltu käyttäjien yksityisyyttä ja turvallisuutta ajatellen, on kyseenalaista, kuinka tehokkaasti ne rajoittavat COVID-19:n leviämistä. Mukaan The Verge, tällaisten vapaaehtoisten, ei-invasiivisten kontaktien jäljitystoimenpiteiden teho voi olla rajallinen. Ongelmat johtuvat siitä, että väestö ei ole hyväksynyt sitä laajalti, ja mahdollisesti suuri määrä vääriä positiivisia Bluetooth-läheisyystapahtumia. Toivon kuitenkin, että tämä uusi aloite onnistuu. On harvinaista nähdä Googlen ja Applen tekevän yhteistyötä missään, mutta epätoivoiset ajat vaativat epätoivoisia toimenpiteitä.

Lähteet: Google-blogiviesti, Yleiskatsaus COVID-19-kontaktien jäljittämiseen, Contact Tracing BLE Spec, Yhteystiedot Tracing Cryptography Spec, Android Contact Tracing API Spec

Päivitys 1: Lisätietoja

Neuvottelupuhelussa toimittajien kanssa Google ja Apple selvensivät joitain kohtia tulevasta Contact Tracing API: sta (otetaan käyttöön toukokuun puolivälissä osana "vaihetta 1") ja BLE Contact Detection Service (otetaan käyttöön myöhemmin tänä vuonna osana "vaihe 2"). Mukaan TechCrunch ja Axios, sekä Contact Tracing API että BLE Contact Detection Service ovat saatavilla Android-laitteille seuraavat Google Play -palveluiden päivitykset – niin kauan kuin Android-älypuhelimessa on Android 6.0 Vaahtokarkkeja. Käyttäjien ei tarvitse päivittää laitteitaan manuaalisesti tai edes päivittää käyttöjärjestelmäänsä, koska Google Play -palveluiden päivitykset tapahtuvat äänettömästi taustalla Google Play Kaupan kautta.

Vaikka BLE Contact Detection Servicen käyttöönotto tarkoittaa, että käyttäjien ei tarvitse asentaa sovellusta ottaakseen yhteyttä Google sanoo, että käyttäjiä pyydetään silti lataamaan asiaankuuluva kansanterveyssovellus, jos positiivinen yhteydenottotapahtuma on saatu. havaittu. Tämä auttaa käyttäjiä määrittämään seuraavat toimet. Apple huomauttaa, että vaikka tiedot voidaan "välittää" sen jälkeen, kun tiedot on käsitelty paikallisesti laitteella, kansanterveysjärjestöjen ylläpitämille palvelimille ympäri maailmaa, keskitettyä datapalvelinta ei tule olemaan. Tämä vaikeuttaa minkään hallituksen tai muun pahantahtoisen toimijan valvontaa. Mukaan Axios, maat voivat käyttää omia palvelimiaan tai käyttää Applen ja Googlen palvelimia. Estäkseen ihmisiä lähettämästä vääriä positiivisia diagnooseja Apple ja Google tekevät yhteistyötä kansanterveysjärjestöjen kanssa diagnoosin vahvistamiseksi.

Mitä tapahtuu miljoonille laitteille, joissa ei ole Googlen mobiilipalveluita, kun vahvistus siitä, että Google tuo Contact Tracingin Android-laitteille Google Play -palveluiden päivitysten kautta? Viittaan tietysti miljooniin Kiinan laitteisiin ja Huawein ja Honorin uudempiin älypuhelinjulkaisuihin. Mukaan The Verge, Google aikoo julkaista puitteet, joita kyseiset yritykset voisivat käyttää toistaakseen suojatun ja anonyymin seurannan. Googlen ja Applen kehittämä järjestelmä." Näin ollen on kolmansien osapuolten päätettävissä, haluavatko he käyttää sitä järjestelmä. Google ei vahvistanut, tuleeko sen Contact Tracing -kehys avoimen lähdekoodin, mutta he sanoivat tarjoavansa kooditarkastuksia yrityksille, jotka haluavat ottaa järjestelmän käyttöön.

Päivitys 2: Ensimmäinen käyttöönotto, Huawein osallistuminen

Alun perin suunniteltu julkaistavaksi "toukokuun puolivälissä", näyttää siltä, ​​​​että Applen ja Googlen Contact Tracing -aikajana on siirtynyt ylöspäin. Sisämarkkinoista vastaavan Euroopan komission jäsenen Thierry Bretonin mukaan suunnitelman ensimmäinen vaihe otetaan käyttöön 28. huhtikuuta. Applen toimitusjohtaja Tim Cook antoi nämä tiedot Mr. Bretonille.

Contact Tracingin ensimmäinen vaihe koskee API: ita. Näitä sovellusliittymiä käyttävät kehittäjät, jotka työskentelevät kansanterveysvirastojen puolesta, eivät kolmannen osapuolen sovellukset. Sovellusliittymät tulevat saataville Google Play Palveluiden päivityksen kautta, ja useimmat laitteet, joissa on Android 6.0+ ja Bluetooth Low Energy, voivat tukea Contact Tracing -toimintoa.

Uusissa Huawei- ja Honor-laitteissa ei tietenkään ole Google Play -palveluita, mutta monilla vanhemmilla laitteilla on silti. TechRadar vahvistaa, että nämä vanhemmat laitteet, jotka tekevät ei mukaan lukien Huawei Mate 30, P40, Honor V30 ja muut, sisällytetään julkaisuun. Mitä tulee muihin Huawei/Honor-laitteisiin, edellisessä artikkelipäivityksessä todettiin, että Google aikoo julkaista puitteet, joita kyseiset yritykset voisivat käyttää Googlen kehittämän suojatun ja anonyymin seurantajärjestelmän kopioimiseen Omena."

Lähde 1: Les Echos | Kautta: TechCrunch | Lähde 2: TechRadar

Päivitys 3: Lisää yksityisyyden suojauksia

Apple ja Google viittaavat nyt Contact Tracing -suunnitelmaan "altistumisilmoituksena", jonka he sanovat olevan parempi kuvaus työkalun tarkoituksesta. Meillä on myös lisätietoja siitä, kuinka terveysviranomaiset voivat hienosäätää sovellusliittymää ja käytössä olevia yksityisyyden suojauksia.

API käyttää Bluetoothia sen havaitsemiseen, oletko ollut positiivisen testin saaneiden läheisyydessä, mutta se voi olla epätarkka (havaitsee ihmisiä, jotka eivät olleet tarpeeksi lähellä tai takana a seinä). API jakaa Bluetooth-signaalin voimakkuuden, jotta terveysviranomaiset voivat asettaa oman kynnyksensä "kontaktitapahtumalle".

API jakaa, kuinka monta päivää yksittäisestä "kontaktitapahtumasta" on kulunut. Se ei kerro tarkkaa aikaa, jonka kaksi henkilöä olivat olleet yhteydessä. Sen sijaan se jakaa vain arvioita altistusajasta, vähintään 5 minuutista enintään 30 minuuttiin, 5 minuutin välein. Terveysviranomaiset voivat käyttää näitä tietoja muuttaakseen käyttäjiä koskevia ohjeitaan sen mukaan, kuinka kauan tapahtuma oli.

Bluetoothin metatiedot salataan, jotta niitä ei käytetä henkilöiden jäljittämiseen käänteistunnistushyökkäyksissä. Nämä metatiedot sisältävät signaalin voimakkuuden ja muita tietoja. Salausalgoritmi muutetaan AES: ksi HMAC: sta, jota he käyttivät aiemmin. AES-salausta voidaan nopeuttaa monissa mobiililaitteissa, mikä tekee API: sta tehokkaamman.

Lopuksi mahdollisten kontaktien jäljittämiseen käytettävät avaimet luodaan nyt satunnaisesti sen sijaan, että ne johdetaan 24 tunnin välein "jäljitysavaimesta", joka on pysyvästi sidottu tiettyyn laitteeseen. Tämä poistaa mahdollisuuden, että hyökkääjä, jolla on suora pääsy laitteeseen, voi selvittää, kuinka avaimet luodaan jäljitysavaimesta, vaikka se on jo erittäin, hyvin vaikeaa tehdä.

Lähde 1: Axios | Lähde 2: Bloomberg | Lähde 3: TechCrunch

Päivitys 4: Beta-sovellusliittymät saatavilla

Apple ja Google ottavat käyttöön altistumisilmoitussovellusliittymänsä (aiemmin "Contact Tracing") yksityisessä betaversiossa tästä päivästä alkaen. Google julkaisee betapäivityksen Google Play -palveluiden kautta, joten ne toimivat kaikissa Android 6.0+ -laitteissa, joissa on Bluetooth Low Energy. Terveysvirastot voivat alkaa käyttää näitä sovellusliittymiä Android Studiossa ja aloittaa testauksen.

Sovellusliittymän vakaan version on edelleen tarkoitus julkaista lähiviikkoina. Kuten molemmat yhtiöt ovat johdonmukaisesti toistaneet, tätä sovellusliittymää ei ole tarkoitettu kolmannen osapuolen kehittäjien käytettäväksi. Se on tarkoitettu kansanterveysvirastoille, ja kun näiden virastojen kehittäjät ovat saaneet työnsä valmiiksi, lataat heiltä sovelluksen.

Lähde: Bloomberg

Päivitys 5: Kuvakaappaukset, Ei sijainnin seurantaa

Apple ja Google julkaisevat edelleen lisätietoja Exposure Notification API: sta. Ensinnäkin yritykset jakoivat joitain ohjeita, joita kansanterveysviranomaisten on noudatettava, jotta niiden sopimusten jäljityssovellukset ovat vastaavissa sovelluskaupoissa. Sovellukset eivät saa kerätä laitteen sijaintitietoja, API on rajoitettu yhteen sovellukseen maata kohden, eikä kerättyjä tietoja voida käyttää kohdennettuun mainontaan.

Yhden sovelluksen sovellusliittymärajoitus maata kohden on pirstoutumisen vähentäminen, mutta Apple ja Google ovat joustavia ja toimivat hallitusten kanssa maissa, jotka saattavat tarvita useita sovelluksia. Esimerkiksi maat, joissa kontaktien jäljitys tapahtuu alueellisesti tai osavaltioittain.

Apple ja Google ovat myös jakaneet mallikuvakaappauksia siitä, miltä altistumisilmoitusasetusten ja sovellusten pitäisi näyttää. Yllä olevassa kuvassa näkyy uusi "COVID-19-altistumisilmoitukset" -osio Google Play Palveluissa. Tämä osio näyttää, onko se käytössä ja mitkä sovellukset voivat lähettää altistumisilmoituksia. Käyttäjät voivat käynnistää sovelluksen täältä ja nähdä kuinka monta "altistumistarkistusta" on tehty viimeisen 14 päivän aikana, poistaa satunnaisia ​​tunnuksia ja poistaa ilmoitukset käytöstä.

Google jakoi myös näytekuvakaappauksia (yllä) siitä, miltä Exposure Notification API -sovellusliittymää käyttävä sovellus voisi näyttää. Tämän sovelluksen lähdekoodi on julkaistu yrityksen Github-sivulla jos terveysvirastot haluavat käyttää sitä sovellusten rakentamiseen.

Lähteet: VentureBeat, 9to5Google, 9to5Google

Päivitys 6: API Live

Useiden viikkojen valmistelun jälkeen Apple ja Google julkaisevat nyt altistumisilmoitussovellusliittymänsä kansanterveysvirastojen käyttöön. Erityisesti Google julkaisee Google Play Palveluihin päivityksen, joka sisältää uuden sovellusliittymän. Kansanterveysvirastojen kehittäjät voivat nyt käyttää näitä sovellusliittymiä ottaakseen käyttöön COVID-19-kontaktien jäljityssovelluksia. Kolme Yhdysvaltain osavaltiota on jo ilmoittanut kehitysprojekteista tämän API: n avulla. Yhteensä 22 maata on saanut pääsyn sovellusliittymään, mutta emme tiedä tarkalleen mitkä maat.

Lähde: Google, The Verge