A Google és az Apple bejelentette a Contact Tracing API-t és a Bluetooth-specifikációt a COVID-19 elleni küzdelem érdekében, figyelmeztetve azokat a felhasználókat, akik ki voltak téve a SARS-CoV-2-nek.
6. frissítés (2020.05.20., 13:55 EST): A Google és az Apple Exposure Notification API-jai már elérhetőek a közegészségügyi ügynökségek számára, így bevezethetik a COVID-19 kapcsolattartási nyomon követését.
5. frissítés (2020.05.04., 15:25 EST): Az Apple és a Google megosztott néhány képernyőképet az Exposure Notification API-ról, és bejelentik, hogy tilos lesz a helykövetés.
4. frissítés (2020.04.29., 14:30 EST): Az Apple és a Google kiadta az Exposure Notification API bétaverzióját a közegészségügyi ügynökségek számára.
3. frissítés (2020.04.24., 15:15 EST): Az Apple és a Google átnevezi a Contact Tracing API-t "Exposure Notification" névre, ami további adatvédelmi intézkedéseket ad hozzá.
2. frissítés (2020.04.24., 11:30 EST): Az Apple és a Google kapcsolatkövető API-ja a jövő héten lép életbe, és a legtöbb Huawei eszközt fogja tartalmazni.
1. frissítés (2020.04.13., 17:51 EST): A riporterekkel folytatott konferenciabeszélgetés során a Google és az Apple tisztázott néhány további részletet arról, hogy a Contact Tracing hogyan kerül bevezetésre a felhasználók számára.
A SARS-CoV-2 által jelentett folyamatos fenyegetés miatt a Google és az Apple összefogott, hogy bejelentsék az új API és Bluetooth Low Energy specifikációt "Kapcsolat" Nyomon követés." A kapcsolatkövetés mögött meghúzódó ötlet az, hogy tájékoztassák a felhasználókat, ha nemrégiben kapcsolatba léptek valakivel, akinél pozitívan diagnosztizálták COVID 19. Dél-Korea és Tajvan sikeresen "lelapította a görbét", mivel korlátozta az új esetek számát széles körű tesztelés és kapcsolattartás megvalósításával egészségügyi rendszereik kapacitása alá süllyedni nyomon követése. Szerint a Associated PressEurópa számos országában, köztük a Cseh Köztársaságban, az Egyesült Királyságban, Németországban és Olaszországban fejlesztik saját kapcsolatkövető eszközeiket. Az Apple és a Google azt reméli, hogy a nemzetek és az orvosi szervezetek világszerte képesek nyomon követni a fertőzés terjedését az új koronavírus, de a két vállalat elismeri a járvány elleni védekezés lehetséges adatvédelmi aggályait is módszer. Ezért hozta létre a két vállalat az új API-t és Bluetooth-specifikációt, „a felhasználói adatvédelem és a biztonság központi eleme a tervezésben”.
A Google és az Apple blogbejegyzéseket és dokumentumokat tett közzé, amelyek felvázolják az új API és Bluetooth LE szolgáltatás bevezetésével kapcsolatos céljaikat. A sürgős szükség miatt mindkét cég két lépésben kezeli ezt a problémát. Először is, májusban mindkét vállalat kiad egy API-t, amely „[lehetővé teszi] az Android és iOS eszközök közötti együttműködést alkalmazások segítségével a közegészségügyi hatóságoktól." Ezeket az alkalmazásokat a felhasználók letölthetik a Google Play Áruházból és az Apple Appból Bolt. Androidon az API valószínűleg a Google Play Services frissítése révén válik elérhetővé az alkalmazások számára. Másodszor, a következő néhány hónapban a Google és az Apple is támogatja az új Bluetooth Low Energy szolgáltatást Android és iOS rendszeren. Az iOS esetében ez az új BLE szolgáltatás valószínűleg operációs rendszer-frissítésen keresztül érkezik, míg az Android esetében ez a szolgáltatás valószínűleg a Google Play Szolgáltatások egy másik frissítésének részeként kerül hozzáadásra. A Google azt állítja, hogy a Bluetooth LE Contact Tracing szolgáltatás hozzáadása robusztusabb megoldás, mint egy API, és több személy számára tenné lehetővé részt vehetnek, ha úgy döntenek, hogy részt vesznek, valamint lehetővé teszik az interakciót az alkalmazások és a kormányzati egészség tágabb ökoszisztémájával hatóság."
Ha egy alkalmazás integrálja az új API-t vagy a BLE-specifikációt, az Android és iOS felhasználók ezt megtehetik értesítést kapnak, ha nemrégiben kapcsolatba léptek valakivel, akinél diagnosztizáltak COVID 19. Nevezetesen, a BLE-megoldás nem követeli meg, hogy a felhasználónak telepítve legyen egy alkalmazás (valószínűleg csak a Google Play szolgáltatásokra van szüksége), de ha úgy döntenek, hogy telepítik valamelyik hivatalos alkalmazást, akkor az alkalmazás tájékoztathatja őket a következő lépésekről, miután megkapták a értesítés. Ez lehetővé teszi a felhasználók számára, hogy eldöntsék, 14 napos önkaranténba kell-e vonulniuk, vagy vizsgálatot és további orvosi beavatkozást kell kérniük. Íme egy példa arra, hogy a Google és az Apple mit képzel el ezzel az új Bluetooth LE szolgáltatással:
Áttekintés a COVID-19-kontaktusok nyomon követéséről a Bluetooth Low Energy használatával. Forrás: Google/Apple.
Íme, mit mond a Google arról, hogyan tervezték meg az új Android Contact Tracing API-t a felhasználók adatainak védelme és biztonsága érdekében:
- Az API-t a startContactTracing metóduson keresztül hívó alkalmazásoknak felhasználói hozzájárulást kell kérniük a névjegykövetés elindításához. Ha ez az első alkalom, hogy az API-t meghívják, a felhasználónak megjelenik egy párbeszédpanel, amely engedélyt kér a nyomkövetés megkezdéséhez.
- Ahhoz, hogy az alkalmazások engedélyezőlistára kerülhessenek az API használatához, az alkalmazásoknak "időbélyeggel kell ellátniuk és kriptográfiailag alá kell írniuk a kulcskészletet, mielőtt eljuttatják a szervert egy felhatalmazott egészségügyi hatóság aláírásával." Más szóval, a jogosulatlan COVID-19 alkalmazások nem használhatják ezt API.
- Ha a felhasználó eltávolítja az alkalmazást, a stopContactTracing metódus "automatikusan meghívásra kerül, és az adatbázis és a kulcsok törlődnek az eszközről."
- A COVID-19 pozitív diagnózisának megerősítése után a felhasználónak kifejezett beleegyezését kell adnia a napi 14 napos nyomkövetési kulcsok feltöltéséhez. Egy párbeszédpanel jelenik meg a felhasználó számára, ha az alkalmazás meghívja a startSharingDailyTracingKeys metódust.
- A felhasználóknak 5 perces lépésekben megjelenik, hogy mikor és mennyi ideig érintkeztek potenciálisan fertőző személlyel, de azt nem, hogy ki és hol történt a kapcsolatfelvétel.
Az új BLE Contact Detection Service a következőképpen védi a felhasználók adatait és biztonságát:
- A specifikáció nem követeli meg a felhasználó tartózkodási helyét vagy bármely más személyazonosításra alkalmas adatot. A helymeghatározás teljesen opcionális, és csak a felhasználó kifejezett beleegyezése után történik.
- A gördülő közelségi azonosítók átlagosan 15 percenként cserélődnek, ami miatt "nem valószínű, hogy a felhasználó helye idővel nyomon követhető Bluetooth-on keresztül".
- A más eszközökről lekért közelségazonosítókat „kizárólag az eszközön dolgozzák fel”. Ez azt jelenti, hogy "azoknak az embereknek a listája, akikkel kapcsolatba került, soha nem hagyja el a telefont".
- A felhasználónak kell eldöntenie, hogy kíván-e hozzájárulni a kapcsolattartás nyomon követéséhez. A COVID-19 betegséggel diagnosztizált felhasználóknak bele kell egyezniük a diagnosztikai kulcsok szerverrel való megosztásába. Átlátható lesz a felhasználó részvétele az érintkezés nyomon követésében, és „a pozitív tesztet a többi felhasználó nem azonosítja, A Google vagy az Apple." Valójában ezeket az információkat "csak a közegészségügyi hatóságok a COVID-19 világjárvány miatti kapcsolatfelvételre fogják használni menedzsment."
- Ha kíváncsi, a tartalomészlelési szolgáltatásnak nem szabad jelentősen lemerítenie az eszköz akkumulátorát, ha a hardver és az operációs rendszer támogatja a „Bluetooth-vezérlő duplikált szűrőit és egyéb [hardveres] szűrőit”, hogy „számot adjon a nagy mennyiségű hirdetőnek a nyilvános helyeken”. A keresés "opportunista", ami azt jelenti, hogy előfordulhat a meglévő ébresztési és vizsgálati ablak ciklusokon belül, de legalább minden 5. percek.
Mivel az új Contact Tracing specifikációit a felhasználói adatvédelem és biztonság szem előtt tartásával tervezték, vitatható, hogy mennyire hatékonyan korlátozzák a COVID-19 terjedését. Alapján A perem, az ilyen önkéntes, nem invazív kontaktkövetési intézkedések hatékonysága korlátozott lehet. A problémák abból fakadnak, hogy a lakosság nem fogadja el széles körben, és potenciálisan nagyszámú téves pozitív Bluetooth-proximity esemény. Ennek ellenére remélem, hogy ez az új kezdeményezés sikeres lesz. Ritkán látni, hogy a Google és az Apple bármiben is együttműködik, de a kétségbeesett idők kétségbeesett intézkedéseket tesznek szükségessé.
Források: Google blogbejegyzés, A COVID-19-kontaktuskövetés áttekintése, Contact Tracing BLE Spec, Contact Tracing Cryptography Spec, Android Contact Tracing API specifikáció
1. frissítés: További részletek
Az újságírókkal folytatott konferenciahívás során a Google és az Apple tisztázott néhány pontot a közelgő Contact Tracing API-val kapcsolatban (május közepén kerül bevezetésre az „1. fázis” részeként) és a BLE Contact Detection Service (az év végén kerül bevezetésre az „1. fázis” részeként) "2. fázis"). Alapján TechCrunch és Axios, mind a Contact Tracing API, mind a BLE Contact Detection Service elérhető lesz Android-eszközökön a Google Play Szolgáltatások frissítéseit követően – mindaddig, amíg az Android okostelefon Android 6.0 operációs rendszert futtat Mályvacukor. A felhasználóknak nem kell manuálisan frissíteniük eszközeiket, vagy akár operációs rendszerüket sem, mivel a Google Play szolgáltatások frissítése csendben történik a háttérben a Google Play Áruházban.
Bár a BLE Contact Detection Service bevezetése azt jelenti, hogy a felhasználóknak nem kell alkalmazást telepíteniük a kapcsolatfelvételhez nyomon követése, a Google azt mondja, hogy a felhasználók továbbra is felszólítást kapnak egy releváns közegészségügyi alkalmazás letöltésére, ha pozitív kapcsolatfelvételi esemény történt. észlelt. Ez segít a felhasználóknak meghatározni a következő lépéseket. Az Apple megjegyzi, hogy bár az adatok az eszközön történő helyi feldolgozás után „továbbküldhetők” a közegészségügyi szervezetek által világszerte üzemeltetett szerverekre, nem lesz központi adatszerver. Ez megnehezíti bármely kormány vagy más rosszindulatú szereplő számára a megfigyelést. Alapján Axios, az országok futtathatják saját szervereiket, vagy használhatják az Apple és a Google szervereit. Annak megakadályozása érdekében, hogy az emberek hamis pozitív diagnózisokat küldjenek be, az Apple és a Google közegészségügyi szervezetekkel dolgozik együtt a diagnózis megerősítésének módszerén.
Ha megerősítjük, hogy a Google elérhetővé teszi a Contact Tracing funkciót Android-eszközökön a Google Play-szolgáltatások frissítése révén, mi lesz a Google mobilszolgáltatások nélküli eszközök millióival? Természetesen a kínai eszközök millióira, valamint a Huawei és a Honor újabb okostelefon-kiadásaira gondolok. Alapján A perem, a Google "egy olyan keretrendszert szándékozik közzétenni, amelyet ezek a cégek használhatnak a biztonságos, névtelen nyomon követés replikálására a Google és az Apple által kifejlesztett rendszer." Így a harmadik felek döntik el, hogy kívánják-e ezt használni rendszer. A Google nem erősítette meg, hogy a Contact Tracing keretrendszere nyílt forráskódú lesz-e, de azt mondták, hogy kódauditot fognak kínálni azoknak a cégeknek, amelyek szeretnék alkalmazni a rendszert.
2. frissítés: Első bevezetés, a Huawei bevonása
Az eredeti tervek szerint "május közepén" indulna el, úgy tűnik, hogy az Apple és a Google Contact Tracing idővonala feljebb mozdult. Thierry Breton, az Európai Bizottság belső piacért felelős biztosa szerint a terv 1. fázisa április 28-án lép életbe. Ezt az információt Tim Cook, az Apple vezérigazgatója adta át Mr. Bretonnak.
A Contact Tracing 1. fázisa az API-król szól. Ezeket az API-kat olyan fejlesztők fogják használni, akik közegészségügyi ügynökségek nevében dolgoznak, nem pedig harmadik féltől származó alkalmazások. Az API-k a Google Play Szolgáltatások frissítése révén lesznek elérhetőek, és a legtöbb Android 6.0+ és Bluetooth Low Energy rendszerrel rendelkező eszköz támogatja a Contact Tracing funkciót.
Természetesen a legújabb Huawei és Honor készülékek nem rendelkeznek Google Play szolgáltatásokkal, de sok régebbi készülék még mindig igen. TechRadar megerősíti, hogy ezek a régebbi eszközök, amelyek igen nem beleértve a Huawei Mate 30-at, P40-et, Honor V30-at és másokat is, a bevezetés része lesz. Ami a többi Huawei/Honor készüléket illeti, az előző cikkfrissítés kijelentette, hogy a Google "közzétálni kíván egy keretrendszer, amelyet ezek a vállalatok használhatnak a Google és a Google által kifejlesztett biztonságos, névtelen nyomkövető rendszer replikálására Alma."
1. forrás: Les Echos | Keresztül: TechCrunch | 2. forrás: TechRadar
3. frissítés: További adatvédelem
Az Apple és a Google most "Exposure Notification" néven hivatkozik a Contact Tracing tervre, amely szerintük jobban leírja az eszköz célját. Arról is rendelkezünk további információval, hogy az egészségügyi hatóságok hogyan finomíthatják az API-t és a hatályban lévő adatvédelmi védelmet.
Az API Bluetooth segítségével észleli, hogy Ön olyan személyek közelében járt-e, akiknek pozitív a tesztje, de ez pontatlan lehet (olyan emberek észlelése, akik nem voltak elég közel vagy mögötte a fal). Az API megosztja a Bluetooth-jel erősségét, így az egészségügyi hatóságok saját küszöbértéket állíthatnak be arra vonatkozóan, hogy mi minősül „kapcsolatfelvételi eseménynek”.
Az API megosztja, hogy hány nap telt el egy egyedi „kapcsolatfelvételi esemény” óta. Nem osztja meg pontosan a két személy kapcsolattartási idejét. Inkább csak becsült expozíciós időt oszt meg, legalább 5 perctől maximum 30 percig, 5 perces lépésekben. Az egészségügyi hatóságok ezt az információt felhasználhatják arra, hogy módosítsák a felhasználóknak szóló útmutatást, attól függően, hogy milyen régen volt az esemény.
A Bluetooth metaadatokat titkosítani fogják, hogy megvédjék azokat az egyének nyomon követésére a fordított azonosítási támadásokban. Ezek a metaadatok jelerősséget és egyéb információkat tartalmaznak. A titkosítási algoritmus AES-re változik a korábban használt HMAC-ról. Az AES-titkosítás számos mobileszközön felgyorsítható, így az API energiahatékonyabbá válik.
Végül pedig a potenciális kapcsolatok nyomon követésére használt kulcsok véletlenszerűen jönnek létre, ahelyett, hogy 24 óránként származnának egy „nyomkövetési kulcsból”, amely állandóan egy adott eszközhöz van kötve. Ezzel elkerülhető, hogy az eszközhöz közvetlenül hozzáférő támadó rájöhessen, hogyan generálódnak a kulcsok a nyomkövetési kulcsból, bár ezt már nagyon-nagyon nehéz megtenni.
1. forrás: Axios | 2. forrás: Bloomberg | 3. forrás: TechCrunch
4. frissítés: Béta API-k érhetők el
Az Apple és a Google a mai naptól kezdődően privát bétaverzióban vezeti be az Exposure Notification API-kat (korábbi nevén „Contact Tracing”). A Google kiadja a béta frissítést a Google Play Services szolgáltatáson keresztül, így azok minden Android 6.0+ készüléken működni fognak Bluetooth Low Energy funkcióval. A közegészségügyi ügynökségek elkezdhetik használni ezeket az API-kat az Android Studióban, és megkezdhetik a tesztelést.
Az API stabil verziójának megjelenését továbbra is a következő hetekben tervezik. Amint azt a két vállalat következetesen megismétli, ezt az API-t nem külső fejlesztők számára tervezték használni. Közegészségügyi ügynökségek számára készült, és amikor ezeknek az ügynökségeknek a fejlesztői befejezték a munkát, letölt egy alkalmazást tőlük.
Forrás: Bloomberg
5. frissítés: Képernyőképek, nincs helykövetés
Az Apple és a Google továbbra is további információkat tesz közzé az Exposure Notification API-ról. Először is a vállalatok megosztottak néhány irányelvet, amelyeket a közegészségügyi hatóságoknak követniük kell ahhoz, hogy szerződéskövető alkalmazásaik a megfelelő alkalmazásboltokban megjelenjenek. Az alkalmazásoknak tilos eszközhelyadatokat gyűjteni, az API országonként egy alkalmazásra korlátozódik, és az összegyűjtött adatok nem használhatók fel célzott reklámozásra.
Az API-korlát országonként egy alkalmazásra korlátozza a széttagoltságot, de az Apple és a Google rugalmasak lesznek, és együttműködnek az olyan országok kormányaival, ahol több alkalmazásra is szükség lehet. Például olyan országok, ahol az érintkezés nyomon követése regionálisan vagy államonként történik.
Az Apple és a Google megosztott néhány makett képernyőképet is arról, hogy hogyan nézzenek ki a kitettséget jelző értesítési beállítások és alkalmazások. A fenti képen a Google Play-szolgáltatások új „COVID-19-expozíciós értesítései” része látható. Ez a szakasz megmutatja, hogy engedélyezve van-e, és mely alkalmazások képesek kitettségi értesítéseket küldeni. A felhasználók innen indíthatják el az alkalmazást, és megtekinthetik, hány "expozíció-ellenőrzést" végeztek az elmúlt 14 napban, törölhetik a véletlenszerű azonosítókat, és kikapcsolhatják az értesítéseket.
A Google megosztott néhány minta képernyőképet (fent), hogy hogyan nézhet ki egy alkalmazás, amely az Exposure Notification API-t használja. Ennek az alkalmazásnak a forráskódja közzétételre került a cég Github oldala ha az egészségügyi ügynökségek alkalmazásokat kívánnak készíteni.
Források: VentureBeat, 9to5Google, 9to5Google
6. frissítés: API Live
Több hetes felvezetés után az Apple és a Google most kiadja az Exposure Notification API-kat a közegészségügyi ügynökségek számára. A Google konkrétan a Google Play Szolgáltatások frissítését vezeti be, amely tartalmazza az új API-t. A közegészségügyi ügynökségek fejlesztői mostantól használhatják ezeket az API-kat a COVID-19 betegséggel kapcsolatos kontaktkövető alkalmazások megvalósítására. Három amerikai állam már bejelentett fejlesztés alatt álló projektet ezzel az API-val. Összesen 22 ország kapott hozzáférést az API-hoz, de nem tudjuk pontosan, mely országok.
Forrás: Google, A perem