Covid-19 kontaktsporingsapper har begynt å distribueres over hele verden, med apper som Aarogya Setu og NHS Covid-19 som nå tar i bruk åpen kildekode-tilnærming.
Det nye koronaviruset, også kjent som SARS-CoV-2, har skapt kaos over hele verden. Noen få nasjoner har klart å kontrollere spredningen av viruset, men mange andre har slitt og prøver fortsatt sitt beste for å begrense det. En av strategiene som testes for inneslutning er kontaktsporing, dvs. spore opp alle personene som nylig har kommet i kontakt med en person som har testet positivt for COVID-19 og deretter iverksatt tiltak for å isolere disse personene. Kontaktsporing er en avgjørende oppgave å få til riktig, da det påvirker et individs personvern og frihet i større interesse for folkehelsen. Trusselen mot personvernet var stor nok for Google og Apple skal komme sammen og samarbeid om en kontaktsporings-API og Bluetooth-spesifikasjon, en som er designet for å ha minimal innvirkning på brukernes personvern og sikkerhet. Selv om denne innsatsen er prisverdig og noen land har tatt i bruk disse, har noen få nasjoner også påtatt seg arbeid med sine egne lignende løsninger. I dette stykket prøver vi å liste opp noen av disse kontaktsporingsløsningene, med fokus på de som har kildekoden sin åpen og tilgjengelig for publikum for inspeksjon og tilbakemelding.
Uavhengige løsninger
Østerrike - Stopp Corona
Den østerrikske regjeringen vedtok Stopp Corona app utviklet i samarbeid med det østerrikske Røde Kors. Denne appen gjør det ikke stole på Google og Apples Exposure Notification API-er. Det er ingen posisjonssporing på plass, siden appen bruker Bluetooth. Appen overvåker telefonene som har kommet i nærheten av brukeren. Hvis en bruker mistenker COVID-19-infeksjon eller har fått en positiv diagnose, lastes nærhetsinformasjonen opp til det som hevdes å være en desentralisert database. Varsler sendes ut til alle brukere som har hatt nærhetshistorikk. Det er rapportert at det ikke samles inn personlig informasjon, og hvis en bruker ønsker å velge bort sporing, kan de ganske enkelt slette appen og dataene. For ytterligere trygghet er appen også åpen kildekode.
Stopp Corona-kildekoden på GitHub
Australia – COVIDSafe
Australia har tatt i bruk COVIDSafe app. Denne appen gjør det ikke stole på Google og Apples Exposure Notification API-er. Ved installasjon må brukere registrere sine navn/pseudonym, aldersgruppe, postnummer og telefonnummer, som alle er lagret kryptert på en regjering server. Appen er avhengig av Bluetooth for nærhetssporing, og utveksler anonymiserte IDer som endres annenhver time. Disse ID-ene lagres kryptert på telefoner og slettes etter 21 dager. Når noen tester positivt for COVID-19, mottar de en unik kode fra helsemyndigheter som deretter laster opp listen over anonymiserte ID-er for de siste 21 dagene. Appen er også åpen kildekode, slik at åpenheten opprettholdes.
COVIDSafe-kildekode på GitHub
Tsjekkia — eRouska
Tsjekkia har vedtatt eRouska app. Denne appen gjør det ikke stole på Google og Apples Exposure Notification API-er. I likhet med andre implementeringer som er Bare Bluetooth, eRouska skanner området for andre eRouska-appbrukere i nærheten og lagrer møtedata lokalt på enheten. Når en bruker tester positivt, blir brukeren kontaktet av helsemyndigheter for å laste opp møtedata etter samtykke. Den kringkastede enhets-IDen endres hver time, og skanning kan også slås på og av manuelt. Brukere kan velge å fjerne alle innsamlede data, inkludert telefonnummeret. Appen er også åpen kildekode.
eRouska kildekode på GitHub
Pris: Gratis.
4.3.
India – Aarogya Setu
Regjeringen i India besluttet å ikke ta i bruk Google og Apples løsning, men i stedet utvikle en egen løsning i form av Aarogya Setu-appen. Når en bruker har satt opp kontoen sin på applikasjonen, ber appen om fortsatt Bluetooth-tilgang og plasseringsdata. Brukere må også oppgi informasjon som navn, alder, kjønn, helsestatus med mer for å bygge opp en brukerprofil. Det legges frem en egenvurderingstest der brukeren blir spurt om de viser noen av symptomene på COVID-19 sammen med andre spørsmål. Når to smarttelefoner med Aarogya Setu-appen kommer nær hverandre, samler appen inn informasjon. Hvis en av kontaktene har testet positivt, vil appen varsle den andre personen og gi instruksjoner for å hjelpe i selvisolasjon.
Bruken av denne Aarogya Setu-appen ble først sterkt oppmuntret av regjeringen og deretter gitt mandat i flere tilfeller. India har imidlertid ikke den beste holdningen til borgernes personvern siden landet mangler nøkkellover for å regulere slike brukssaker. Siden appen samler plasseringsdata og deler det med regjeringen-en tilnærming som mange har ansett som overdreven og unødvendig - den kom under søkelyset for å være for påtrengende for brukernes personvern og for ikke å ha åpenhet og ansvarlighet i prosessen. Det som fulgte var kritikk av disse tilnærmingene.
I noen gode nyheter på dette området har Aarogya Setu-appen for Android blitt gjort åpen kildekode. Kildekoden for Android-appen er nå tilgjengelig på GitHub. Bekymrede myndigheter lover at kildekoden for iOS-versjonen og KaiOS-versjonen av appen vil også være åpen kildekode "i rett tid". Personvernreglene til appen var også oppdatert for å tillate omvendt utvikling av appen og rapportering av feil til myndighetene. Videre er det også en bug bounty-program på plass, og inviterer utviklere til å identifisere sårbarheter, feil og kodeforbedringer.
Aarogya Setu kildekode på GitHub
Alt dette er definitivt gode nyheter siden mangelen på åpenhet var ganske alarmerende. Det er fortsatt spørsmål om den ugjennomsiktige back-end-infrastrukturen og server-side-koden, men rapporter tyder på at også denne blir åpen kildekode neste uke.
Pris: Gratis.
3.3.
Singapore — TraceTogether basert på BlueTrace-protokollen
Singapores implementering tar form av TraceTogether, som også er ikke avhengig av Google og Apples Exposure Notification APIer, men er også kun for Bluetooth og ikke stedsbasert. Appen trenger kun et mobilnummer for å starte, og ingen annen personlig informasjon samles inn. Nummeret utgjør en del av bruker-IDen, som deretter brukes til å generere midlertidige IDer. Nærhetsinformasjon om disse midlertidige ID-ene lagres på en 21-dagers rullende basis på enheten. Data videresendes til en server når en bruker tester positivt. Videre er TraceTogethers funksjonalitet lovet å bli suspendert når pandemien avtar.
Mens TraceTogether ikke er åpen kildekode i seg selv, har en generisk kodebase blitt publisert i form av OpenTrace. Denne generiske kodebasen omfatter referanseimplementeringen av en Android-app, en iOS-app og en sentral server bygget rundt Google Firebase. Også publisert er BlueTrace-protokollen som danner grunnlaget for både TraceTogether og OpenTrace. BlueTrace-protokollen forsøker å skape interoperabilitet på tvers av jurisdiksjoner slik at andre nasjoner kan samarbeide om denne innsatsen.
OpenTrace kildekode på GitHub
Pris: Gratis.
3.6.
Storbritannia – NHS COVID-19
Storbritannias implementering tar form av NHS COVID-19 app, som for tiden er i "beta-testing" og tilgjengelig for innbyggere på Isle of Wight (og som skal utvides til andre regioner i fremtiden). Appen er ikke avhengig av Google og Apples Exposure Notification APIer, men er også avhengig av Bluetooth. Ved oppsett blir brukerne bedt om å angi den første halvdelen av pinkoden, som brukes til å identifisere om det er hotspots som bryter ut – ytterligere detaljer blir ikke spurt med mindre du rapporterer symptomer. Bluetooth-nærhetsdata logges i 28 dager via anonyme ID-er. Appen vil også bli avviklet når pandemien er over. Kildekoden til appen er allerede åpen og tilgjengelig for inspeksjon.
NHS COVID-19-kildekode på GitHub
Løsninger som bruker Google og Apples Exposure Notification API
Disse implementeringene er bygget på toppen av Google og Apples Exposure Notification API. Google har også lansert en oppdatering til Google Play Services som inkluderer den nye API-en. Et referansedesign for en Android-app som implementerer Exposure Notifications API er også tilgjengelig. Apper basert på denne API-en har forbud mot å samle inn enhetsposisjonsdata. I stedet bruker API-en Bluetooth Low Energy for å oppdage om du har vært i nærheten av andre som har testet positivt. API-en vil dele hvor mange dager som har gått siden en individuell "kontakthendelse" sammen med et estimat for eksponeringstid. Bluetooth-metadata vil være AES-kryptert.
Mens når det gjelder Google, trenger ikke Android-brukere å installere en applikasjon ettersom Exposure Notification API blir levert gjennom oppdateringer til Google Play-tjenester. Så så lenge du har en Android-enhet som kjører Android 6.0 Marshmallow eller nyere, bør du ha tilgang til tjenesten. Likevel vil Google be brukere om å laste ned en relevant folkehelseapp hvis en positiv kontakthendelse har blitt oppdaget.
Italia - Immuni
Italias løsning kommer i form av Immuni-appen, som forventes å se en bredere offentlig utgivelse i løpet av de kommende dagene. Den er avhengig av Google og Apples eksponeringsvarslingssystem, som utnytter Bluetooth Low Energy, og ingen geolokaliseringsdata samles inn overhodet.
Immuni kildekode på GitHub
Sveits — SwissCovid DP-3T
Sveits jobber med en løsning kalt Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Appen og serveren forventes begge å være åpen kildekode. Appen er ennå ikke komplett og utgitt for offentligheten, men kildekoden for appen er allerede aktiv, så den bør tjene som et grunnlag.
SwissCovid DP-3T Kildekode på GitHub
Dette er ikke en uttømmende liste, men ment å fremheve løsningene som er tilgjengelige i form av åpen kildekode for interesserte utviklere å inspisere og bygge videre på.