Google e Apple anunciaram uma API de rastreamento de contatos e especificações de Bluetooth para combater o COVID-19, alertando os usuários que podem ter sido expostos ao SARS-CoV-2.
Atualização 6 (20/05/2020 às 13h55 EST): As APIs de notificação de exposição do Google e da Apple agora estão disponíveis para agências de saúde pública para que possam implementar o rastreamento de contatos para COVID-19.
Atualização 5 (04/05/2020 às 15h25 EST): A Apple e o Google compartilharam algumas capturas de tela da API de notificação de exposição e anunciaram que o rastreamento de localização será proibido.
Atualização 4 (29/04/2020 às 14h30 EST): A Apple e o Google lançaram uma versão beta de sua API de notificação de exposição para agências de saúde pública.
Atualização 3 (24/04/2020 às 15h15 EST): A Apple e o Google estão renomeando a API de rastreamento de contatos para “Notificação de exposição”, adicionando mais proteções de privacidade.
Atualização 2 (24/04/2020 às 11h30 EST): A API de rastreamento de contatos da Apple e do Google entrará no ar na próxima semana e incluirá a maioria dos dispositivos Huawei.
Atualização 1 (13/04/2020 às 17h51 EST): Durante uma teleconferência com repórteres, Google e Apple esclareceram mais alguns detalhes sobre como o Contact Tracing será implementado para os usuários.
Devido à ameaça contínua representada pelo SARS-CoV-2, o Google e a Apple se uniram para anunciar uma nova API e especificação Bluetooth Low Energy chamada "Contact Rastreamento." A ideia por trás do rastreamento de contato é informar aos usuários se eles estiveram recentemente em contato com alguém que foi diagnosticado positivamente com COVID 19. A Coreia do Sul e Taiwan conseguiram "achatar a curva", já que limitaram o número de novos casos ficarem abaixo da capacidade dos seus sistemas de saúde, através da implementação generalizada de testes e contactos rastreamento. De acordo com Imprensa Associada, vários países da Europa, incluindo a República Checa, o Reino Unido, a Alemanha e a Itália, estão a desenvolver as suas próprias ferramentas de rastreio de contactos. A Apple e o Google esperam capacitar nações e organizações médicas em todo o mundo com a capacidade de rastrear a propagação de o novo coronavírus, mas as duas empresas também reconhecem as potenciais preocupações de privacidade com esta contenção da pandemia método. É por isso que as duas empresas criaram a nova API e especificações Bluetooth “com privacidade e segurança do usuário no centro do design”.
Google e Apple publicaram postagens em blogs e documentos que descrevem seus objetivos para lançar uma nova API e serviço Bluetooth LE. Devido à necessidade urgente, ambas as empresas estão abordando este problema em duas etapas. Primeiro, em maio, ambas as empresas lançarão uma API que “[permite] a interoperabilidade entre dispositivos Android e iOS usando aplicativos das autoridades de saúde pública." Esses aplicativos serão disponibilizados para download pelos usuários na Google Play Store e no Apple App Loja. No Android, a API provavelmente estará disponível para aplicativos por meio de uma atualização do Google Play Services. Em segundo lugar, nos próximos meses, tanto o Google quanto a Apple adicionarão suporte para um novo serviço Bluetooth Low Energy no Android e iOS. Para iOS, este novo serviço BLE provavelmente virá por meio de uma atualização do sistema operacional, enquanto para Android, este serviço provavelmente será adicionado como parte de outra atualização do Google Play Services. O Google afirma que adicionar um serviço Bluetooth LE Contact Tracing “é uma solução mais robusta do que uma API e permitiria que mais indivíduos participar, se optarem por participar, bem como permitir a interação com um ecossistema mais amplo de aplicativos e serviços de saúde do governo autoridades."
Depois que um aplicativo integra a nova API ou a especificação BLE é integrada, os usuários de Android e iOS podem receber notificações se tiverem entrado recentemente em contato com alguém que foi diagnosticado com COVID 19. Notavelmente, a solução BLE não exigirá que o usuário tenha um aplicativo instalado (presumivelmente, ele só precisa do Google Play Services), mas se optarem por instalar um dos aplicativos oficiais, o aplicativo poderá informá-los sobre as próximas etapas a serem executadas após receberem um notificação. Isso permitirá que os usuários decidam se precisam ficar em quarentena por 14 dias ou solicitar exames e intervenção médica adicional. Aqui está um exemplo de fluxo do que o Google e a Apple imaginam que será possível com este novo serviço Bluetooth LE:
Uma visão geral do rastreamento de contatos da COVID-19 usando Bluetooth Low Energy. Fonte: Google/Apple.
Aqui está o que o Google diz sobre como eles projetaram a nova API Android Contact Tracing para proteger a privacidade e segurança do usuário:
- Os aplicativos que chamam a API por meio do método startContactTracing são necessários para obter o consentimento do usuário para iniciar o rastreamento de contato. Se esta for a primeira vez que a API está sendo invocada, será exibida uma caixa de diálogo ao usuário solicitando permissão para iniciar o rastreamento.
- Para serem incluídos na lista de permissões para usar esta API, os aplicativos "serão obrigados a registrar a data e hora e assinar criptograficamente o conjunto de chaves antes da entrega para o servidor com a assinatura de uma autoridade médica autorizada." Em outras palavras, aplicativos COVID-19 não autorizados não terão permissão para usar este API.
- Se o usuário desinstalar o aplicativo, o método stopContactTracing “será invocado automaticamente e o banco de dados e as chaves serão apagados do dispositivo”.
- O usuário, após ter confirmado um diagnóstico positivo de COVID-19, deverá conceder consentimento explícito para carregar 14 dias de chaves de rastreamento diário. Uma caixa de diálogo será mostrada ao usuário se o aplicativo chamar o método startSharingDailyTracingKeys.
- Será mostrado aos usuários em que data e por quanto tempo estiveram em contato com uma pessoa potencialmente contagiosa, em incrementos de 5 minutos, mas não quem ou onde o contato ocorreu.
Veja como o novo serviço de detecção de contato BLE protegerá a privacidade e a segurança do usuário:
- A especificação não exige a localização do usuário ou qualquer outra informação de identificação pessoal. O uso da localização é totalmente opcional e só é feito após o consentimento explícito do usuário.
- Os identificadores de proximidade contínuos são alterados a cada 15 minutos em média, o que torna “improvável que a localização do usuário possa ser rastreada via Bluetooth ao longo do tempo”.
- Os identificadores de proximidade recuperados de outros dispositivos “são processados exclusivamente no dispositivo”. Isso significa que a “lista de pessoas com quem você esteve em contato nunca sai do seu telefone”.
- Cabe ao usuário decidir se deseja contribuir para o rastreamento de contatos. Os usuários diagnosticados com COVID-19 devem consentir em compartilhar chaves de diagnóstico com o servidor. Haverá transparência sobre a participação do usuário no rastreamento de contatos, e “as pessoas com teste positivo não serão identificadas para outros usuários, Google ou Apple." Na verdade, essas informações "só serão usadas para rastreamento de contatos pelas autoridades de saúde pública para a pandemia de COVID-19 gerenciamento."
- Caso você esteja se perguntando, o Serviço de Detecção de Conteúdo não deve esgotar significativamente a bateria de um dispositivo se o hardware e o sistema operacional apoiar "filtros duplicados do controlador Bluetooth e outros filtros [de hardware]" para "dar conta de grandes volumes de anunciantes em espaços públicos". A varredura é "oportunista", o que significa que pode ocorrer dentro dos ciclos existentes da janela de ativação e varredura, mas também ocorrerá no mínimo a cada 5 minutos.
Como as novas especificações do Contact Tracing foram projetadas tendo em mente a privacidade e a segurança do usuário, é discutível a eficácia delas na limitação da propagação do COVID-19. De acordo com A beira, tais medidas opcionais e não invasivas de rastreamento de contatos podem ter eficácia limitada. Os problemas se resumem à falta de adoção generalizada pela população e a um número potencialmente grande de eventos de proximidade Bluetooth falsos positivos. Ainda assim, espero que esta nova iniciativa seja bem-sucedida. É raro ver o Google e a Apple colaborarem em qualquer coisa, mas tempos desesperadores exigem medidas desesperadas.
Fontes: Postagem no blog do Google, Visão geral do rastreamento de contatos da COVID-19, Especificações BLE de rastreamento de contato, Especificações de criptografia de rastreamento de contato, Especificações da API de rastreamento de contatos do Android
Atualização 1: mais detalhes
Em teleconferência com repórteres, Google e Apple esclareceram alguns pontos sobre a próxima API de rastreamento de contatos (lançado em meados de maio como parte da "fase 1") e BLE Contact Detection Service (lançado ainda este ano como parte do "fase 2"). De acordo com TechCrunch e Eixos, tanto a API Contact Tracing quanto o BLE Contact Detection Service estarão disponíveis em dispositivos Android seguintes atualizações do Google Play Services, desde que o smartphone Android esteja executando o Android 6.0 Marshmallow. Os usuários não precisarão atualizar manualmente seus dispositivos ou mesmo atualizar seu sistema operacional, já que as atualizações do Google Play Services acontecem silenciosamente em segundo plano por meio da Google Play Store.
Embora a introdução do BLE Contact Detection Service signifique que os usuários não precisarão instalar um aplicativo para participar do contato rastreamento, o Google diz que os usuários ainda serão solicitados a baixar um aplicativo de saúde pública relevante se um evento de contato positivo tiver sido detectou. Isso ajudará os usuários a determinar as próximas etapas que devem seguir. A Apple observa que embora os dados, depois de processados localmente no dispositivo, possam ser “retransmitidos” para servidores administrados por organizações de saúde pública em todo o mundo, não haverá um servidor de dados centralizado. Isto tornará difícil para qualquer governo ou outro ator mal-intencionado conduzir a vigilância. De acordo com Eixos, os países podem operar seus próprios servidores ou usar servidores da Apple e do Google. Para evitar que as pessoas enviem diagnósticos falsos positivos, a Apple e o Google estão trabalhando com organizações de saúde pública para encontrar uma forma de confirmar os diagnósticos.
Com a confirmação de que o Google trará o Contact Tracing para dispositivos Android por meio de atualizações do Google Play Services, o que acontecerá com os milhões de dispositivos sem o Google Mobile Services? Estou me referindo, é claro, aos milhões de dispositivos na China e aos lançamentos mais recentes de smartphones da Huawei e da Honor. De acordo com A beira, o Google "pretende publicar uma estrutura que essas empresas possam usar para replicar o rastreamento anônimo e seguro sistema desenvolvido pelo Google e pela Apple." Assim, cabe a terceiros decidir se desejam usar esse sistema. O Google não confirmou se sua estrutura de rastreamento de contatos será de código aberto, mas disse que oferecerá auditorias de código para empresas que desejam adotar o sistema.
Atualização 2: lançamento inicial, envolvimento da Huawei
Originalmente planejado para entrar em operação em “meados de maio”, parece que o cronograma de rastreamento de contatos da Apple e do Google aumentou. Segundo Thierry Breton, Comissário Europeu para o Mercado Interno, a Fase 1 do plano entrará em funcionamento no dia 28 de abril. Esta informação foi dada ao Sr. Breton pelo CEO da Apple, Tim Cook.
A Fase 1 do Rastreamento de Contatos trata de APIs. Essas APIs serão usadas por desenvolvedores que trabalham em nome de agências de saúde pública, e não de aplicativos de terceiros. As APIs serão disponibilizadas por meio de uma atualização do Google Play Services e a maioria dos dispositivos com Android 6.0+ e Bluetooth Low Energy podem oferecer suporte ao Contact Tracing.
É claro que os dispositivos Huawei e Honor recentes não possuem Google Play Services, mas muitos dispositivos mais antigos ainda possuem. TechRadar confirma que esses dispositivos mais antigos, que não não incluem o Huawei Mate 30, P40, Honor V30 e outros, serão incluídos no lançamento. Quanto aos outros dispositivos Huawei/Honor, a atualização do artigo anterior afirmava que o Google “pretende publicar um estrutura que essas empresas poderiam usar para replicar o sistema de rastreamento anônimo e seguro desenvolvido pelo Google e Maçã."
Fonte 1: Os ecos | Através da: TechCrunch | Fonte 2: TechRadar
Atualização 3: Mais proteções de privacidade
A Apple e o Google agora estão se referindo ao plano de rastreamento de contatos como “Notificação de exposição”, que, segundo eles, é uma descrição melhor para o propósito da ferramenta. Também temos mais informações sobre como as autoridades de saúde podem ajustar a API e as proteções de privacidade que serão implementadas.
A API usa Bluetooth para detectar se você esteve perto de outras pessoas com teste positivo, mas isso pode ser impreciso (detectar pessoas que não estavam próximas o suficiente ou atrás de um parede). A API compartilhará a intensidade do sinal Bluetooth para que as autoridades de saúde possam definir seu próprio limite para o que constitui um “evento de contato”.
A API compartilhará quantos dias se passaram desde um "evento de contato" individual. Não será divulgado o tempo exato em que as duas pessoas estiveram em contato. Em vez disso, partilhará apenas estimativas de tempo de exposição, de um mínimo de 5 minutos a um máximo de 30 minutos, em incrementos de 5 minutos. As autoridades de saúde podem usar essas informações para alterar as orientações aos usuários com base na antiguidade do evento.
Os metadados do Bluetooth serão criptografados para evitar que sejam usados para rastrear indivíduos em ataques de identificação reversa. Esses metadados incluem a intensidade do sinal e outras informações. O algoritmo de criptografia está sendo alterado para AES do HMAC que eles usavam antes. A criptografia AES pode ser acelerada em muitos dispositivos móveis, tornando a API mais eficiente em termos de energia.
Por último, as chaves utilizadas para rastrear potenciais contactos são agora geradas aleatoriamente, em vez de serem derivadas a cada 24 horas de uma “chave de rastreio” que está permanentemente ligada a um dispositivo específico. Isso elimina a chance de um invasor com acesso direto a um dispositivo descobrir como as chaves são geradas a partir da chave de rastreamento, embora isso já seja muito, muito difícil de fazer.
Fonte 1: Eixos | Fonte 2: Bloomberg | Fonte 3: TechCrunch
Atualização 4: APIs beta disponíveis
A Apple e o Google estão lançando suas APIs de notificação de exposição (anteriormente chamadas de “Rastreamento de contato”) em uma versão beta privada a partir de hoje. O Google está lançando a atualização beta por meio do Google Play Services, para que funcione em qualquer dispositivo Android 6.0+ com Bluetooth Low Energy. As agências de saúde pública podem começar a usar essas APIs no Android Studio e começar a testar.
A versão estável da API ainda está prevista para ser lançada nas próximas semanas. Como as duas empresas reiteraram consistentemente, esta API não se destina a ser usada por desenvolvedores terceirizados. É para agências de saúde pública e, quando o trabalho for concluído pelos desenvolvedores dessas agências, você baixará um aplicativo deles.
Fonte: Bloomberg
Atualização 5: capturas de tela, sem rastreamento de localização
A Apple e o Google continuam a divulgar mais informações sobre a API de notificação de exposição. Primeiro, as empresas partilharam algumas orientações que as autoridades de saúde pública terão de seguir para terem as suas aplicações de rastreamento de contratos nas respetivas lojas de aplicações. Os aplicativos estão proibidos de coletar dados de localização do dispositivo, a API é limitada a um aplicativo por país e os dados coletados não podem ser usados para publicidade direcionada.
O limite da API de um aplicativo por país visa reduzir a fragmentação, mas a Apple e o Google serão flexíveis e trabalharão com governos em países que possam precisar de vários aplicativos. Por exemplo, países onde o rastreamento de contactos é feito regionalmente ou por estados.
A Apple e o Google também compartilharam algumas capturas de tela de como deveriam ser as configurações e os aplicativos da Notificação de Exposição. A imagem acima mostra a nova seção “Notificações de exposição COVID-19” no Google Play Services. Esta seção mostra se está habilitado e quais aplicativos podem enviar notificações de exposição. Os usuários podem iniciar o aplicativo aqui e ver quantas “verificações de exposição” foram feitas nos últimos 14 dias, excluir IDs aleatórios e desativar notificações.
O Google também compartilhou alguns exemplos de capturas de tela (acima) de como seria a aparência de um aplicativo que usa a API de notificação de exposição. O código-fonte deste aplicativo foi publicado em a página do Github da empresa se as agências de saúde desejarem usá-lo para criar aplicativos.
Fontes: VentureBeat, 9to5Google, 9to5Google
Atualização 6: API ao vivo
Após várias semanas de preparação, a Apple e o Google estão lançando suas APIs de notificação de exposição para uso pelas agências de saúde pública. O Google, especificamente, está lançando uma atualização para o Google Play Services que inclui a nova API. Os desenvolvedores de agências de saúde pública agora podem usar essas APIs para implementar aplicativos de rastreamento de contatos para a COVID-19. Três estados dos EUA já anunciaram projetos em desenvolvimento utilizando esta API. No total, 22 países receberam acesso à API, mas não sabemos exatamente quais países.
Fonte: Google, A beira