Google e Apple annunciano la tecnologia Contact Tracing per tracciare il Coronavirus

Google e Apple hanno annunciato un’API di tracciamento dei contatti e specifiche Bluetooth per combattere COVID-19 avvisando gli utenti che potrebbero essere stati esposti a SARS-CoV-2.

Aggiornamento 6 (20/05/2020, 13:55 EST): Le API di notifica dell'esposizione di Google e Apple sono ora disponibili per le agenzie sanitarie pubbliche in modo che possano implementare il tracciamento dei contatti per COVID-19.

Aggiornamento 5 (4/5/2020, 15:25 EST): Apple e Google hanno condiviso alcuni screenshot dell'API Exposure Notification e annunciano che il tracciamento della posizione sarà vietato.

Aggiornamento 4 (29/4/2020, 14:30 EST): Apple e Google hanno rilasciato una versione beta della loro API di notifica dell'esposizione per le agenzie sanitarie pubbliche.

Aggiornamento 3 (24/04/2020, 15:15 EST): Apple e Google stanno rinominando l'API di tracciamento dei contatti in "Notifica di esposizione", aggiungendo ulteriori protezioni alla privacy.

Aggiornamento 2 (24/4/2020, 11:30 EST): L'API di tracciamento dei contatti di Apple e Google sarà attiva la prossima settimana e includerà la maggior parte dei dispositivi Huawei.

Aggiornamento 1 (13/04/2020, 17:51 EST): Durante una teleconferenza con i giornalisti, Google e Apple hanno chiarito alcuni dettagli in più su come verrà implementato il Contact Tracing per gli utenti.

A causa della continua minaccia rappresentata dalla SARS-CoV-2, Google e Apple hanno collaborato per annunciare una nuova specifica API e Bluetooth Low Energy denominata "Contact Tracciamento." L'idea alla base del tracciamento dei contatti è quella di informare gli utenti se sono stati recentemente in contatto con qualcuno a cui è stata diagnosticata positivamente la malattia. COVID 19. La Corea del Sud e Taiwan sono riusciti ad “appiattire la curva”, limitando il numero di nuovi casi scendere al di sotto della capacità dei loro sistemi sanitari, implementando test e contatti diffusi tracciamento. Secondo il Stampa associata, diversi paesi in Europa, tra cui Repubblica Ceca, Regno Unito, Germania e Italia, stanno sviluppando i propri strumenti di tracciamento dei contatti. Apple e Google sperano di consentire alle nazioni e alle organizzazioni mediche di tutto il mondo di tracciare la diffusione dell’infezione il nuovo coronavirus, ma le due società riconoscono anche i potenziali problemi di privacy legati a questo contenimento della pandemia metodo. Ecco perché le due società hanno creato la nuova API e le specifiche Bluetooth "con la privacy e la sicurezza dell'utente al centro della progettazione".

Google e Apple hanno pubblicato post e documenti su blog che delineano i loro obiettivi per il lancio di una nuova API e del servizio Bluetooth LE. A causa dell’urgente necessità, entrambe le società stanno affrontando questo problema in due fasi. Innanzitutto, a maggio, entrambe le società rilasceranno un'API che "[abilita] l'interoperabilità tra dispositivi Android e iOS utilizzando app dalle autorità sanitarie pubbliche." Queste app saranno rese disponibili per il download da parte degli utenti su Google Play Store e sull'app Apple Negozio. Su Android, l'API diventerà probabilmente disponibile per le app tramite un aggiornamento di Google Play Services. In secondo luogo, nei prossimi mesi, sia Google che Apple aggiungeranno il supporto per un nuovo servizio Bluetooth Low Energy su Android e iOS. Per iOS, questo nuovo servizio BLE arriverà probabilmente tramite un aggiornamento del sistema operativo, mentre per Android questo servizio verrà probabilmente aggiunto come parte di un altro aggiornamento a Google Play Services. Google afferma che l'aggiunta di un servizio di tracciamento dei contatti Bluetooth LE "è una soluzione più solida di un'API e consentirebbe a più persone di farlo di partecipare, se scelgono di aderire, oltre a consentire l'interazione con un ecosistema più ampio di app e sanità pubblica autorità."

Una volta che un'app integra la nuova API o la specifica BLE è stata integrata, gli utenti Android e iOS possono farlo ricevere notifiche se sono stati di recente in contatto con qualcuno a cui è stata diagnosticata COVID 19. In particolare, la soluzione BLE non richiederà all'utente di avere un'applicazione installata (presumibilmente ha solo bisogno di Google Play Services), ma se scelgono di installare una delle app ufficiali, l'app può informarli sui passaggi successivi da eseguire dopo aver ricevuto un'app notifica. Ciò consentirà agli utenti di decidere se necessitano di auto-quarantena per 14 giorni o di sottoporsi a test e ulteriore intervento medico. Ecco un esempio di ciò che Google e Apple prevedono sarà possibile con questo nuovo servizio Bluetooth LE:

Una panoramica del tracciamento dei contatti COVID-19 utilizzando Bluetooth Low Energy. Fonte: Google/Apple.

Ecco cosa dice Google su come ha progettato la nuova API Android Contact Tracing per proteggere la privacy e la sicurezza degli utenti:

  • Le app che chiamano l'API tramite il metodo startContactTracing devono ottenere il consenso dell'utente per avviare il tracciamento dei contatti. Se è la prima volta che l'API viene richiamata, all'utente verrà mostrata una finestra di dialogo che richiede l'autorizzazione per avviare la traccia.
  • Per poter essere autorizzate a utilizzare questa API, le app "dovranno contrassegnare data e ora e firmare crittograficamente il set di chiavi prima della consegna a sul server con la firma di un'autorità medica autorizzata." In altre parole, le app COVID-19 non autorizzate non potranno utilizzare questo API.
  • Se l'utente disinstalla l'app, il metodo stopContactTracing "verrà richiamato automaticamente e il database e le chiavi verranno cancellati dal dispositivo."
  • L'utente, dopo aver confermato una diagnosi positiva al COVID-19, dovrà prestare esplicito consenso al caricamento delle chiavi di tracciamento giornaliero per 14 giorni. All'utente verrà visualizzata una finestra di dialogo se l'app chiama il metodo startSharingDailyTracingKeys.
  • Agli utenti verrà mostrato in quale data e per quanto tempo sono stati in contatto con una persona potenzialmente contagiosa, fino a incrementi di 5 minuti, ma non chi o dove è avvenuto il contatto.

Ecco come il nuovo servizio di rilevamento dei contatti BLE proteggerà la privacy e la sicurezza degli utenti:

  • Le specifiche non richiedono la posizione dell'utente o altre informazioni di identificazione personale. L'uso della posizione è del tutto facoltativo e viene effettuato solo dopo che l'utente ha fornito il consenso esplicito.
  • Gli identificatori di prossimità ripetuti vengono modificati in media ogni 15 minuti, il che rende "improbabile che la posizione dell'utente possa essere tracciata tramite Bluetooth nel tempo".
  • Gli identificatori di prossimità recuperati da altri dispositivi "vengono elaborati esclusivamente sul dispositivo". Ciò significa che "l'elenco delle persone con cui sei stato in contatto non lascia mai il tuo telefono".
  • Spetta all'utente decidere se vuole contribuire al tracciamento dei contatti. Gli utenti a cui è stato diagnosticato il COVID-19 devono acconsentire alla condivisione delle chiavi di diagnosi con il server. Ci sarà trasparenza sulla partecipazione dell'utente al tracciamento dei contatti e "le persone che risultano positive non verranno identificate dagli altri utenti, Google, o Apple." Infatti, queste informazioni "saranno utilizzate solo per il tracciamento dei contatti da parte delle autorità sanitarie pubbliche per la pandemia di COVID-19 gestione."
  • Nel caso te lo stia chiedendo, il servizio di rilevamento dei contenuti non dovrebbe consumare in modo significativo la batteria di un dispositivo se l'hardware e il sistema operativo supportare "filtri duplicati del controller Bluetooth e altri filtri [hardware]" per "tenere conto di grandi volumi di inserzionisti negli spazi pubblici". La scansione è "opportunistica", nel senso che può avvenire entro i cicli di riattivazione e finestra di scansione esistenti, ma verrà eseguita anche almeno ogni 5 minuti.

Poiché le nuove specifiche di Contact Tracing sono progettate tenendo presente la privacy e la sicurezza degli utenti, è discutibile quanto saranno efficaci nel limitare la diffusione di COVID-19. Secondo Il limite, tali misure di tracciamento dei contatti non invasive e partecipative potrebbero avere un'efficacia limitata. I problemi si riducono a una mancanza di adozione diffusa da parte della popolazione e a un numero potenzialmente elevato di eventi di prossimità Bluetooth falsi positivi. Spero comunque che questa nuova iniziativa abbia successo. È raro vedere Google e Apple collaborare su qualcosa, ma i tempi disperati richiedono misure disperate.

Fonti: Post del blog di Google, Panoramica sul tracciamento dei contatti COVID-19, Specifiche BLE di tracciamento dei contatti, Specifiche della crittografia di tracciamento dei contatti, Specifiche API di tracciamento dei contatti Android


Aggiornamento 1: ulteriori dettagli

In una teleconferenza con i giornalisti, Google e Apple hanno chiarito alcuni punti sulla prossima API di Contact Tracing (in distribuzione a metà maggio come parte della "fase 1") e BLE Contact Detection Service (in distribuzione entro la fine dell'anno come parte di "fase 2"). Secondo TechCrunch E Axios, sia l'API di tracciamento dei contatti che il servizio di rilevamento dei contatti BLE saranno disponibili sui dispositivi Android successivi aggiornamenti a Google Play Services, a condizione che lo smartphone Android utilizzi Android 6.0 Marshmallow. Gli utenti non dovranno aggiornare manualmente i propri dispositivi o addirittura aggiornare il proprio sistema operativo poiché gli aggiornamenti a Google Play Services avvengono silenziosamente in background tramite Google Play Store.

Sebbene l'introduzione del servizio di rilevamento dei contatti BLE significhi che gli utenti non avranno bisogno di installare un'applicazione per prendere parte ai contatti tracciamento, Google afferma che agli utenti verrà comunque richiesto di scaricare un’app di salute pubblica pertinente se si è verificato un evento di contatto positivo rilevato. Ciò aiuterà gli utenti a determinare i passaggi successivi da eseguire. Apple rileva che mentre i dati, dopo essere stati elaborati localmente sul dispositivo, possono essere “trasmessi” ai server gestiti da organizzazioni sanitarie pubbliche in tutto il mondo, non ci sarà un server dati centralizzato. Ciò renderà difficile per qualsiasi governo o altro attore malintenzionato condurre la sorveglianza. Secondo Axios, i paesi possono gestire i propri server o utilizzare quelli di Apple e Google. Per impedire alle persone di inviare diagnosi di falsi positivi, Apple e Google stanno collaborando con le organizzazioni sanitarie pubbliche per trovare un modo per confermare le diagnosi.

Con la conferma che Google porterà il Contact Tracing sui dispositivi Android tramite gli aggiornamenti di Google Play Services, cosa accadrà ai milioni di dispositivi sprovvisti di Google Mobile Services? Mi riferisco, ovviamente, ai milioni di dispositivi in ​​Cina e alle nuove versioni di smartphone di Huawei e Honor. Secondo Il limite, Google "intende pubblicare un framework che tali aziende potrebbero utilizzare per replicare il tracciamento sicuro e anonimo sistema sviluppato da Google e Apple." Pertanto, spetta a terzi decidere se vogliono utilizzarlo sistema. Google non ha confermato se il suo framework di contact tracing sarà open source, ma ha detto che offrirà audit del codice alle aziende che desiderano adottare il sistema.


Aggiornamento 2: lancio iniziale, coinvolgimento di Huawei

Originariamente previsto per essere pubblicato a "metà maggio", sembra che la cronologia dei contatti di Apple e Google sia stata spostata in avanti. Secondo Thierry Breton, commissario europeo per il mercato interno, la fase 1 del piano entrerà in vigore il 28 aprile. Questa informazione è stata fornita al signor Breton dal CEO di Apple Tim Cook.

La Fase 1 del Contact Tracing riguarda le API. Queste API verranno utilizzate dagli sviluppatori che lavorano per conto di agenzie sanitarie pubbliche, non da applicazioni di terze parti. Le API verranno rese disponibili tramite un aggiornamento di Google Play Services e la maggior parte dei dispositivi con Android 6.0+ e Bluetooth Low Energy potranno supportare il tracciamento dei contatti.

Naturalmente, i recenti dispositivi Huawei e Honor non dispongono di Google Play Services, ma molti dispositivi più vecchi lo fanno ancora. TechRadar conferma che questi dispositivi più vecchi, che lo fanno non includere Huawei Mate 30, P40, Honor V30 e altri, saranno inclusi nel rollout. Per quanto riguarda gli altri dispositivi Huawei/Honor, il precedente articolo di aggiornamento affermava che Google "intende pubblicare un quadro che tali aziende potrebbero utilizzare per replicare il sistema di tracciamento sicuro e anonimo sviluppato da Google e Mela."

Fonte 1: Gli Echi | Attraverso: TechCrunch | Fonte 2: TechRadar


Aggiornamento 3: maggiori protezioni per la privacy

Apple e Google ora si riferiscono al piano di tracciamento dei contatti come “notifica di esposizione”, che secondo loro è una descrizione migliore per lo scopo dello strumento. Abbiamo anche qualche informazione in più su come le autorità sanitarie possono mettere a punto l’API e le protezioni della privacy che saranno in atto.

L'API utilizza il Bluetooth per rilevare se sei stato nelle vicinanze di altre persone risultate positive, ma ciò potrebbe essere impreciso (rilevare persone che non erano abbastanza vicine o dietro a parete). L'API condividerà la potenza del segnale Bluetooth in modo che le autorità sanitarie possano impostare la propria soglia per ciò che costituisce un "evento di contatto".

L'API condividerà quanti giorni sono trascorsi da un singolo "evento di contatto". Non verrà condiviso il periodo di tempo preciso in cui le due persone sono rimaste in contatto. Piuttosto, condividerà solo le stime del tempo di esposizione, da un minimo di 5 minuti a un massimo di 30 minuti, con incrementi di 5 minuti. Le autorità sanitarie possono utilizzare queste informazioni per modificare le indicazioni fornite agli utenti in base a quanto tempo fa è avvenuto l’evento.

I metadati Bluetooth verranno crittografati per proteggerli dall'utilizzo per tracciare individui in attacchi di identificazione inversa. Questi metadati includono la potenza del segnale e altre informazioni. L'algoritmo di crittografia verrà modificato in AES dall'HMAC utilizzato in precedenza. La crittografia AES può essere accelerata su molti dispositivi mobili, rendendo l'API più efficiente dal punto di vista energetico.

Infine, le chiavi utilizzate per tracciare i potenziali contatti vengono ora generate in modo casuale anziché derivare ogni 24 ore da una "chiave di tracciamento" permanentemente legata a un particolare dispositivo. In questo modo si elimina la possibilità che un utente malintenzionato con accesso diretto a un dispositivo possa capire come vengono generate le chiavi dalla chiave di tracciamento, sebbene ciò sia già molto, molto difficile da fare.

Fonte 1: Axios | Fonte 2: Bloomberg | Fonte 3: TechCrunch


Aggiornamento 4: API beta disponibili

Apple e Google stanno lanciando le loro API di notifica dell'esposizione (precedentemente chiamate "Tracciamento dei contatti") in una beta privata a partire da oggi. Google sta rilasciando l'aggiornamento beta tramite Google Play Services, quindi funzioneranno su qualsiasi dispositivo Android 6.0+ con Bluetooth Low Energy. Le agenzie sanitarie pubbliche possono iniziare a utilizzare queste API in Android Studio e iniziare i test.

Il rilascio della versione stabile dell'API è previsto nelle prossime settimane. Come le due società hanno costantemente ribadito, questa API non è destinata ad essere utilizzata da sviluppatori di terze parti. È per le agenzie sanitarie pubbliche e, una volta completato il lavoro dagli sviluppatori di queste agenzie, scaricherai un'app da loro.

Fonte: Bloomberg


Aggiornamento 5: screenshot, nessun rilevamento della posizione

Apple e Google continuano a rilasciare ulteriori informazioni sull'API di notifica dell'esposizione. Innanzitutto le aziende hanno condiviso alcune linee guida che le autorità sanitarie pubbliche dovranno seguire per avere le proprie app di tracciamento dei contratti nei rispettivi app store. Alle app non è consentito raccogliere dati sulla posizione del dispositivo, l'API è limitata a un'app per paese e i dati raccolti non possono essere utilizzati per pubblicità mirata.

Il limite API di un’app per paese serve a ridurre la frammentazione, ma Apple e Google saranno flessibili e collaboreranno con i governi dei paesi che potrebbero aver bisogno di più app. Ad esempio, i paesi in cui il tracciamento dei contatti viene effettuato a livello regionale o per stato.

Apple e Google hanno anche condiviso alcuni screenshot simulati di come dovrebbero apparire le impostazioni e le app di Notifica di esposizione. L'immagine sopra mostra la nuova sezione "Notifiche di esposizione al COVID-19" in Google Play Services. Questa sezione mostra se è abilitato e quali app sono in grado di inviare notifiche di esposizione. Gli utenti possono avviare l'app da qui e vedere quanti "controlli dell'esposizione" sono stati eseguiti negli ultimi 14 giorni, eliminare ID casuali e disattivare le notifiche.

Google ha anche condiviso alcuni screenshot di esempio (sopra) di come potrebbe apparire un'app che utilizza l'API di notifica dell'esposizione. Il codice sorgente di questa app è stato pubblicato su la pagina Github dell'azienda se le agenzie sanitarie desiderano utilizzarlo per creare app.

Fonti: VentureBeat, 9to5Google, 9to5Google


Aggiornamento 6: API attiva

Dopo diverse settimane di preparazione, Apple e Google stanno ora rilasciando le loro API di notifica di esposizione affinché le agenzie di sanità pubblica possano utilizzarle. Google, in particolare, sta lanciando un aggiornamento a Google Play Services che include la nuova API. Gli sviluppatori delle agenzie sanitarie pubbliche possono ora utilizzare queste API per implementare app di tracciamento dei contatti per COVID-19. Tre stati degli Stati Uniti hanno già annunciato progetti in sviluppo utilizzando questa API. 22 paesi in totale hanno ricevuto l'accesso all'API, ma non sappiamo esattamente quali paesi.

Fonte: Google, Il limite