Le app di tracciamento dei contatti COVID-19 hanno iniziato a essere implementate in tutto il mondo, con app come Aarogya Setu e NHS Covid-19 che ora adottano un approccio open source.
Il nuovo coronavirus, noto anche come SARS-CoV-2, ha provocato il caos in tutto il mondo. Alcune nazioni sono riuscite a controllare la diffusione del virus, ma molte altre hanno lottato e stanno ancora facendo del loro meglio per contenerlo. Una delle strategie in fase di sperimentazione per il suo contenimento è il contact tracing, ovvero. tracciare tutte le persone che sono entrate di recente in contatto con una persona risultata positiva al COVID-19 e quindi adottare misure per isolare queste persone. Il tracciamento dei contatti è un compito cruciale da svolgere correttamente poiché incide sulla privacy e sulla libertà di un individuo nel maggiore interesse della salute pubblica. La minaccia alla privacy personale era abbastanza grande per Google e Apple si uniscono e collaborare su un'API di tracciamento dei contatti e su specifiche Bluetooth, progettate per avere un impatto minimo sulla privacy e sulla sicurezza degli utenti. Sebbene questi sforzi siano encomiabili e alcuni paesi li abbiano adottati, alcune nazioni hanno anche intrapreso il lavoro su proprie soluzioni simili. In questo articolo, tentiamo di elencare alcune di queste soluzioni di tracciamento dei contatti, concentrandoci su quelle che hanno il codice sorgente aperto e disponibile al pubblico per ispezione e feedback.
Soluzioni indipendenti
Austria – Stop Corona
Il governo austriaco ha adottato il Ferma Corona app sviluppata in collaborazione con la Croce Rossa austriaca. Questa app lo fa non fare affidamento sulle API di notifica dell'esposizione di Google e Apple. Non è disponibile alcun rilevamento della posizione poiché l'app utilizza il Bluetooth. L'app monitora i telefoni che si sono avvicinati all'utente. Se un utente sospetta un'infezione da COVID-19 o gli è stata diagnosticata positivamente, le informazioni di prossimità vengono caricate in quello che viene definito un database decentralizzato. Gli avvisi vengono inviati a tutti gli utenti che hanno una cronologia di prossimità. Secondo quanto riferito, non vengono raccolte informazioni personali e se un utente desidera disattivare il tracciamento, può semplicemente eliminare l'app e i dati. Per ulteriore tranquillità, anche l'app è open source.
Ferma il codice sorgente Corona su GitHub
Australia – COVIDSafe
L'Australia ha adottato il COVIDSafe app. Questa app lo fa non fare affidamento sulle API di notifica dell'esposizione di Google e Apple. Al momento dell'installazione, gli utenti devono registrare il proprio nome/pseudonimo, fascia di età, codice postale e numero di telefono, tutti archiviati crittografati su un database governativo server. L'app si affida al Bluetooth per il tracciamento di prossimità, scambiando ID anonimizzati che vengono cambiati ogni due ore. Questi ID vengono archiviati crittografati sui telefoni e cancellati dopo 21 giorni. Quando qualcuno risulta positivo al COVID-19, riceve un codice univoco dai funzionari sanitari che quindi carica l'elenco degli ID anonimizzati degli ultimi 21 giorni. Anche l'app è open source, quindi la trasparenza viene mantenuta.
Codice sorgente COVIDSafe su GitHub
Repubblica Ceca — eRouska
La Repubblica Ceca ha adottato il eRouska app. Questa app lo fa non fare affidamento sulle API di notifica dell'esposizione di Google e Apple. Simile ad altre implementazioni che lo sono Solo Bluetooth, eRouska scansiona l'area per altri utenti dell'app eRouska nelle vicinanze e salva i dati di incontro localmente sul dispositivo. Quando un utente risulta positivo, viene contattato dai funzionari sanitari per caricare consensualmente i dati dell'incontro. L'ID dispositivo trasmesso cambia ogni ora e la scansione può anche essere attivata e disattivata manualmente. Gli utenti possono scegliere di rimuovere tutti i dati raccolti, incluso il numero di telefono. Anche l'app è open source.
Codice sorgente di eRouska su GitHub
Prezzo: gratuito.
4.3.
India: Aarogya Setu
Lo ha deciso il governo indiano non adottare la soluzione di Google e Apple ma sviluppare invece la propria soluzione sotto forma di Applicazione Aarogya Setu. Una volta che un utente ha configurato il proprio account sull'applicazione, l'app richiede l'accesso Bluetooth continuo e i dati sulla posizione. Gli utenti devono inoltre fornire informazioni quali nome, età, sesso, stato di salute e altro per creare un profilo utente. Viene proposto un test di autovalutazione in cui all'utente viene chiesto se mostra qualcuno dei sintomi di COVID-19 insieme ad altre domande. Quando due smartphone con l'app Aarogya Setu si avvicinano, l'app raccoglie informazioni. Se uno dei contatti risulta positivo, l’app avviserà l’altra persona e fornirà istruzioni per aiutarla nell’autoisolamento.
L’uso di questa app Aarogya Setu è stato inizialmente fortemente incoraggiato dal governo e poi imposto in diversi casi. Tuttavia, l’India non ha l’atteggiamento migliore nei confronti della privacy dei cittadini poiché il paese non dispone di leggi fondamentali per regolamentare tali casi d’uso. Poiché l'app raccoglie dati sulla posizione e lo condivide con il governo- un approccio che molti hanno ritenuto eccessivo e non necessario - è finito sotto i riflettori perché esiste troppo invadente per la privacy dell'utente e per non avere trasparenza e responsabilità nel processo. Ciò che seguì fu la critica a questi approcci.
Una buona notizia a questo proposito è che l'app Aarogya Setu per Android è stata resa open source. Il codice sorgente per l'app Android è ora disponibile su GitHub. Le autorità interessate promettono che il codice sorgente per la versione iOS e la versione KaiOS dell'app lo saranno essere anche open source "a tempo debito". Anche l'informativa sulla privacy dell'app era aggiornato per consentire il reverse engineering dell'app e segnalare bug al governo. Inoltre, c'è anche a programma di ricompensa dei bug sul posto, invitando gli sviluppatori a identificare vulnerabilità, bug e miglioramenti del codice.
Codice sorgente Aarogya Setu su GitHub
Tutto ciò è sicuramente una buona notizia poiché la mancanza di trasparenza era piuttosto allarmante. Ci sono ancora domande sull'infrastruttura back-end opaca e sul codice lato server, ma i rapporti suggeriscono che anche questo sarà open source la prossima settimana.
Prezzo: gratuito.
3.3.
Singapore – TraceTogether basato sul protocollo BlueTrace
L'implementazione di Singapore prende la forma di TraceTogether, che è anche non fa affidamento sulle API di notifica dell'esposizione di Google e Apple, ma è anche solo Bluetooth e non basato sulla posizione. L'app necessita solo di un numero di cellulare per essere avviata e non vengono raccolte altre informazioni personali. Il numero fa parte dell'ID utente, che viene poi utilizzato per generare ID temporanei. Le informazioni di prossimità su questi ID temporanei vengono archiviate sul dispositivo regolarmente per 21 giorni. I dati vengono trasmessi a un server quando un utente risulta positivo. Inoltre, si promette che la funzionalità di TraceTogether verrà sospesa una volta che la situazione pandemica si sarà attenuata.
Sebbene TraceTogether non sia di per sé open source, è stata pubblicata una codebase generica sotto forma di OpenTrace. Questa codebase generica comprende l'implementazione di riferimento di un'app Android, un'app iOS e un server centrale costruito attorno a Google Firebase. Viene pubblicato anche il Protocollo BlueTrace che costituisce la base sia per TraceTogether che per OpenTrace. Il protocollo BlueTrace tenta di creare interoperabilità tra giurisdizioni in modo che altre nazioni possano collaborare a questi sforzi.
Codice sorgente OpenTrace su GitHub
Prezzo: gratuito.
3.6.
Regno Unito – NHS COVID-19
L'attuazione da parte del Regno Unito assume la forma del Servizio sanitario nazionale COVID-19 app, che è attualmente in "beta testing" e disponibile per i residenti nell'Isola di Wight (e che sarà estesa ad altre regioni in futuro). L'applicazione è non fa affidamento sulle API di notifica dell'esposizione di Google e Apple, ma si affida anche al Bluetooth. Al momento della configurazione, agli utenti viene chiesto di inserire la prima metà del codice PIN, che viene utilizzato per identificare se sono presenti hotspot; non vengono richiesti ulteriori dettagli a meno che non si segnalino sintomi. I dati di prossimità Bluetooth vengono registrati per 28 giorni tramite ID anonimi. Anche l’app verrà interrotta una volta superata la situazione pandemica. Il codice sorgente dell'app è già aperto e disponibile per l'ispezione.
Codice sorgente NHS COVID-19 su GitHub
Soluzioni che utilizzano l'API di notifica dell'esposizione di Google e Apple
Queste implementazioni si basano sull'API di notifica dell'esposizione di Google e Apple. Google ha anche implementato un aggiornamento per Google Play Services che include la nuova API. È inoltre disponibile un progetto di riferimento per un'app Android che implementa l'API Exposure Notifications. Alle app basate su questa API è vietato raccogliere dati sulla posizione del dispositivo. Invece, l’API utilizza Bluetooth Low Energy per rilevare se sei stato nelle vicinanze di altre persone risultate positive. L'API condividerà quanti giorni sono trascorsi da un singolo "evento di contatto" insieme a una stima del tempo di esposizione. I metadati Bluetooth verranno crittografati AES.
Nel caso di Google, invece, gli utenti Android non avranno bisogno di installare un'applicazione poiché l'API di notifica dell'esposizione viene fornita tramite aggiornamenti a Google Play Services. Pertanto, finché disponi di un dispositivo Android con Android 6.0 Marshmallow o versione successiva, dovresti avere accesso al servizio. Tuttavia, Google chiederà agli utenti di scaricare un’app pertinente per la salute pubblica se viene rilevato un evento di contatto positivo.
Italia – Immuni
La soluzione dell’Italia arriva sotto forma dell’app Immuni, che dovrebbe vedere un rilascio pubblico più ampio nei prossimi giorni. Si basa sul sistema di notifica dell'esposizione di Google e Apple, sfruttando Bluetooth Low Energy e non vengono raccolti alcun dato di geolocalizzazione.
Codice sorgente Immuni su GitHub
Svizzera – SwissCovid DP-3T
La Svizzera sta lavorando a una soluzione chiamata Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Si prevede che l'app e il server siano entrambi open source. L'app non è ancora completa e rilasciata al pubblico, ma il codice sorgente dell'app è già attivo, quindi dovrebbe fungere da base.
Codice sorgente SwissCovid DP-3T su GitHub
Questo non è un elenco esaustivo ma ha lo scopo di evidenziare le soluzioni disponibili sotto forma di codice open source che gli sviluppatori interessati possono ispezionare e sviluppare.