Google și Apple au anunțat o API de urmărire a contactelor și o specificație Bluetooth pentru a lupta împotriva COVID-19, avertizând utilizatorii care ar fi putut fi expuși la SARS-CoV-2.
Actualizare 6 (20.5.2020 la 13:55 EST): API-urile de notificare de expunere ale Google și Apple sunt acum disponibile agențiilor de sănătate publică, astfel încât acestea să poată implementa urmărirea contactelor pentru COVID-19.
Actualizare 5 (04.05.2020 la 15:25 EST): Apple și Google au distribuit câteva capturi de ecran ale API-ului Exposure Notification și anunță că urmărirea locației va fi interzisă.
Actualizare 4 (29.04.2020 la 14:30 EST): Apple și Google au lansat o versiune beta a exposure Notification API pentru agențiile de sănătate publică.
Actualizare 3 (24.04.2020 la 15:15 EST): Apple și Google redenumesc API-ul de urmărire a contactelor în „Notificare de expunere”, adaugă mai multe protecții de confidențialitate.
Actualizare 2 (24.04.2020 la ora 11:30 EST): API-ul de urmărire a contactelor Apple și Google va fi disponibil săptămâna viitoare și va include majoritatea dispozitivelor Huawei.
Actualizare 1 (13.04.2020 la 17:51 EST): În timpul unei conferințe telefonice cu reporterii, Google și Apple au clarificat câteva detalii suplimentare despre modul în care Urmărirea contactelor va fi lansată pentru utilizatori.
Din cauza amenințării permanente reprezentate de SARS-CoV-2, Google și Apple s-au unit pentru a anunța o nouă specificație API și Bluetooth Low Energy numită „Contact Urmărirea.” Ideea din spatele urmăririi contactelor este de a informa utilizatorii dacă au fost recent în contact cu cineva care a fost diagnosticat pozitiv cu COVID 19. Coreea de Sud și Taiwan au „aplatizat curba” cu succes, deoarece au limitat numărul de noi cazuri să scadă sub capacitatea sistemelor lor de sănătate, prin implementarea testării și contactului pe scară largă trasarea. In conformitate cu Associated Press, mai multe țări din Europa, inclusiv Republica Cehă, Regatul Unit, Germania și Italia își dezvoltă propriile instrumente de urmărire a contactelor. Apple și Google speră să ofere națiunilor și organizațiilor medicale din întreaga lume capacitatea de a urmări răspândirea noul coronavirus, dar cele două companii recunosc, de asemenea, potențialele preocupări legate de confidențialitate legate de această limitare a pandemiei metodă. De aceea, cele două companii au creat noile specificații API și Bluetooth „cu confidențialitatea și securitatea utilizatorilor centrale în design”.
Google și Apple au publicat postări pe blog și documente care își subliniază obiectivele de a lansa un nou serviciu API și Bluetooth LE. Din cauza necesității urgente, ambele companii abordează această problemă în două etape. În primul rând, în mai, ambele companii vor lansa un API care „[permite] interoperabilitatea între dispozitivele Android și iOS folosind aplicații de la autoritățile de sănătate publică.” Aceste aplicații vor fi puse la dispoziție utilizatorilor pentru a le descărca în Magazinul Google Play și în aplicația Apple Magazin. Pe Android, API-ul va deveni probabil disponibil pentru aplicații printr-o actualizare a serviciilor Google Play. În al doilea rând, în următoarele câteva luni, atât Google, cât și Apple vor adăuga suport pentru un nou serviciu Bluetooth Low Energy în Android și iOS. Pentru iOS, acest nou serviciu BLE va veni probabil printr-o actualizare a sistemului de operare, în timp ce pentru Android, acest serviciu va fi probabil adăugat ca parte a unei alte actualizări la serviciile Google Play. Google spune că adăugarea unui serviciu de urmărire a contactelor Bluetooth LE „este o soluție mai robustă decât un API și ar permite mai multor persoane să participe, dacă aleg să se înscrie, precum și să permită interacțiunea cu un ecosistem mai larg de aplicații și sănătatea guvernului Autoritățile."
Odată ce o aplicație integrează noul API sau specificația BLE a fost integrată, utilizatorii Android și iOS pot primesc notificări dacă au fost recent în contact cu cineva care a fost diagnosticat COVID 19. În special, soluția BLE nu va cere utilizatorului să aibă instalată o aplicație (probabil că au nevoie doar de serviciile Google Play), dar dacă aleg să instaleze una dintre aplicațiile oficiale, atunci aplicația îi poate informa cu privire la următorii pași de urmat după ce primesc un notificare. Acest lucru va permite utilizatorilor să decidă dacă trebuie să se auto-carantineze timp de 14 zile sau să solicite testare și intervenție medicală ulterioară. Iată un exemplu de flux a ceea ce Google și Apple preconizează că va fi posibil cu acest nou serviciu Bluetooth LE:
O prezentare generală a urmăririi contactelor COVID-19 folosind Bluetooth Low Energy. Sursa: Google/Apple.
Iată ce spune Google despre modul în care a proiectat noul Android Contact Tracing API pentru a proteja confidențialitatea și securitatea utilizatorilor:
- Aplicațiile care apelează API-ul prin metoda startContactTracing sunt necesare pentru a obține consimțământul utilizatorului pentru a începe urmărirea contactelor. Dacă aceasta este prima dată când API-ul este invocat, utilizatorului i se va afișa un dialog care cere permisiunea de a începe urmărirea.
- Pentru a fi incluse pe lista albă pentru a utiliza acest API, aplicațiile „va trebui să marcați ora și să semneze criptografic setul de chei înainte de livrarea către serverul cu semnătura unei autorități medicale autorizate.” Cu alte cuvinte, aplicațiile neautorizate COVID-19 nu vor avea voie să utilizeze acest API.
- Dacă utilizatorul dezinstalează aplicația, metoda stopContactTracing „va fi invocată automat, iar baza de date și cheile vor fi șterse de pe dispozitiv”.
- Utilizatorul, după ce a confirmat un diagnostic pozitiv de COVID-19, trebuie să-și dea consimțământul explicit pentru a încărca 14 zile de chei de urmărire zilnică. Un dialog va fi afișat utilizatorului dacă aplicația apelează metoda startSharingDailyTracingKeys.
- Utilizatorilor li se va arăta la ce dată și pentru cât timp au fost în contact cu o persoană potențial contagioasă, până la 5 minute, dar nu cine sau unde a avut loc contactul.
Iată cum noul serviciu de detectare a contactelor BLE va proteja confidențialitatea și securitatea utilizatorilor:
- Specificația nu necesită locația utilizatorului sau alte informații de identificare personală. Utilizarea locației este complet opțională și se face numai după ce utilizatorul oferă consimțământul explicit.
- Rolling Proximity Identifiers sunt modificate în medie la fiecare 15 minute, ceea ce face „putin probabil ca locația utilizatorului să poată fi urmărită prin Bluetooth în timp”.
- Identificatorii de proximitate preluați de pe alte dispozitive „sunt procesați exclusiv pe dispozitiv”. Aceasta înseamnă că „lista persoanelor cu care ați fost în contact nu vă părăsește niciodată telefonul”.
- Este la latitudinea utilizatorului să decidă dacă dorește să contribuie la urmărirea contactelor. Utilizatorii care sunt diagnosticați cu COVID-19 trebuie să își dea acordul pentru a partaja cheile de diagnosticare cu serverul. Va exista transparență cu privire la participarea utilizatorului la urmărirea contactelor, iar „persoanele care sunt testate pozitiv nu sunt identificate altor utilizatori, Google sau Apple.” De fapt, aceste informații „vor fi folosite doar pentru urmărirea contactelor de către autoritățile de sănătate publică pentru pandemia de COVID-19. management.”
- În cazul în care vă întrebați, serviciul de detectare a conținutului nu ar trebui să consume în mod semnificativ bateria unui dispozitiv dacă hardware-ul și sistemul de operare acceptă „Filtre duplicate ale controlerului Bluetooth și alte filtre [hardware]” pentru „să țină cont de volume mari de agenți de publicitate în spațiile publice”. Scanarea este „oportunistă”, ceea ce înseamnă că poate apărea în ciclurile existente de trezire și ferestre de scanare, dar va avea loc și la cel puțin la fiecare 5 minute.
Deoarece noile specificații de urmărire a contactelor sunt concepute având în vedere confidențialitatea și securitatea utilizatorilor, este discutabil cât de eficiente vor fi ele în limitarea răspândirii COVID-19. Conform The Verge, astfel de măsuri neinvazive de urmărire a contactelor de participare pot avea o eficacitate limitată. Problemele se rezumă la lipsa adoptării pe scară largă de către populație și la un număr potențial mare de evenimente de proximitate Bluetooth fals pozitive. Totuși, sper că această nouă inițiativă va avea succes. Este rar să vezi Google și Apple colaborând la ceva, dar vremurile disperate necesită măsuri disperate.
Surse: Postare pe blog Google, Prezentare generală a urmăririi contactelor COVID-19, Urmărirea contactelor BLE Spec, Contact Urmărire Criptografie Spec, Spec. API de urmărire a contactelor Android
Actualizare 1: Mai multe detalii
Într-o conferință telefonică cu reporterii, Google și Apple au clarificat câteva puncte despre viitorul Contact Tracing API (se lansează la mijlocul lunii mai, ca parte a „fazei 1”) și Serviciul de detectare a contactelor BLE (se lansează mai târziu în acest an, ca parte a "faza 2"). Conform TechCrunch și Axios, atât API-ul de urmărire a contactelor, cât și serviciul de detectare a contactelor BLE vor fi disponibile pe dispozitivele Android următoarele actualizări ale serviciilor Google Play — atâta timp cât smartphone-ul Android rulează Android 6.0 Bezea. Utilizatorii nu vor trebui să-și actualizeze manual dispozitivele sau chiar să își actualizeze sistemul de operare, deoarece actualizările la serviciile Google Play au loc în mod silențios în fundal prin Magazinul Google Play.
Deși introducerea Serviciului de detectare a contactelor BLE înseamnă că utilizatorii nu vor trebui să instaleze o aplicație pentru a lua parte la contact. urmărirea, Google spune că utilizatorii vor fi în continuare solicitați să descarce o aplicație de sănătate publică relevantă dacă a avut loc un eveniment de contact pozitiv detectat. Acest lucru va ajuta utilizatorii să determine următorii pași pe care ar trebui să-i facă. Apple notează că, în timp ce datele, după ce au fost procesate local pe dispozitiv, pot fi „retransmite” către servere conduse de organizații de sănătate publică din întreaga lume, nu va exista un server de date centralizat. Acest lucru va face dificilă supravegherea oricărui guvern sau alt actor rău intenționat. Conform Axios, țările își pot rula propriile servere sau pot folosi pe cele de la Apple și Google. Pentru a preveni oamenii să trimită diagnostice fals pozitive, Apple și Google lucrează cu organizațiile de sănătate publică la o modalitate de a confirma diagnosticele.
Odată cu confirmarea faptului că Google va aduce Urmărirea contactelor pe dispozitivele Android prin actualizări ale serviciilor Google Play, ce se va întâmpla cu milioanele de dispozitive fără serviciile Google Mobile? Mă refer, desigur, la milioanele de dispozitive din China și la noile lansări de smartphone-uri ale Huawei și Honor. Conform The Verge, Google „intenționează să publice un cadru pe care acele companii ar putea să-l folosească pentru a reproduce urmărirea securizată, anonimă. sistem dezvoltat de Google și Apple.” Astfel, este la latitudinea terților să decidă dacă doresc să folosească asta sistem. Google nu a confirmat dacă cadrul său de urmărire a contactelor va fi open-source, dar au spus că va oferi audituri de cod companiilor care doresc să adopte sistemul.
Actualizare 2: lansare inițială, implicare Huawei
Planuită inițial să fie lansată la „mijlocul lunii mai”, se pare că cronologia de urmărire a contactelor Apple și Google a crescut. Potrivit lui Thierry Breton, comisarul european pentru piața internă, faza 1 a planului va intra în vigoare pe 28 aprilie. Această informație i-a fost oferită domnului Breton de către CEO-ul Apple, Tim Cook.
Faza 1 a Urmăririi contactelor se referă la API-uri. Aceste API-uri vor fi folosite de dezvoltatorii care lucrează în numele agențiilor de sănătate publică, nu de aplicații terțe. API-urile vor fi disponibile printr-o actualizare a serviciilor Google Play, iar majoritatea dispozitivelor cu Android 6.0+ și Bluetooth Low Energy pot accepta Urmărirea contactelor.
Desigur, dispozitivele Huawei și Honor recente nu au Servicii Google Play, dar multe dispozitive mai vechi încă mai au. TechRadar confirmă că aceste dispozitive mai vechi, care fac nu includ Huawei Mate 30, P40, Honor V30 și altele, vor fi incluse în lansare. În ceea ce privește celelalte dispozitive Huawei/Honor, actualizarea articolului precedent a precizat că Google „intenționează să publice un cadrul pe care acele companii l-ar putea folosi pentru a reproduce sistemul de urmărire securizat și anonim dezvoltat de Google și Măr."
Sursa 1: Les Echos | Prin intermediul: TechCrunch | Sursa 2: TechRadar
Actualizarea 3: Mai multe protecții de confidențialitate
Apple și Google se referă acum la planul de urmărire a contactelor ca „Notificare de expunere”, despre care spun că este o descriere mai bună pentru scopul instrumentului. Avem, de asemenea, câteva informații suplimentare despre modul în care autoritățile din domeniul sănătății pot ajusta API-ul și protecțiile de confidențialitate care vor fi în vigoare.
API-ul folosește Bluetooth pentru a detecta dacă ați fost în apropierea altor persoane care au fost testate pozitiv, dar asta are potențialul de a fi inexact (detectarea persoanelor care nu erau suficient de aproape sau în spatele unui perete). API-ul va împărtăși puterea semnalului Bluetooth, astfel încât autoritățile sanitare să își poată stabili propriul prag pentru ceea ce constituie un „eveniment de contact”.
API-ul va afișa câte zile au trecut de la un „eveniment de contact” individual. Nu va împărtăși durata exactă de timp în care cele două persoane au fost în contact. Mai degrabă, va împărtăși doar estimări ale timpului de expunere, de la un minim de 5 minute la maximum 30 de minute, în trepte de 5 minute. Autoritățile sanitare pot folosi aceste informații pentru a-și modifica îndrumările pentru utilizatori în funcție de cât timp a avut loc evenimentul.
Metadatele Bluetooth vor fi criptate pentru a proteja împotriva utilizării lor pentru a urmări indivizii în atacuri de identificare inversă. Aceste metadate includ puterea semnalului și alte informații. Algoritmul de criptare este schimbat în AES de la HMAC pe care îl foloseau înainte. Criptarea AES poate fi accelerată pe multe dispozitive mobile, făcând API-ul mai eficient din punct de vedere energetic.
În cele din urmă, cheile folosite pentru a urmări potențialele contacte sunt acum generate aleatoriu, mai degrabă decât să fie derivate la fiecare 24 de ore dintr-o „cheie de urmărire” care este permanent legată de un anumit dispozitiv. Acest lucru scapă de șansa ca un atacator cu acces direct la un dispozitiv să-și dea seama cum sunt generate cheile din cheia de urmărire, deși acest lucru este deja foarte, foarte dificil de făcut.
Sursa 1: Axios | Sursa 2: Bloomberg | Sursa 3: TechCrunch
Actualizare 4: API-uri beta disponibile
Apple și Google își lansează API-urile de notificare de expunere (numite anterior „Urmărirea contactelor”) într-o versiune beta privată începând de astăzi. Google lansează actualizarea beta prin serviciile Google Play, așa că vor funcționa pe orice dispozitiv Android 6.0+ cu Bluetooth Low Energy. Agențiile de sănătate publică pot începe să utilizeze aceste API-uri în Android Studio și să înceapă testarea.
Versiunea stabilă a API-ului este încă planificată să fie lansată în săptămânile următoare. După cum cele două companii au reiterat în mod constant, acest API nu este destinat să fie utilizat de dezvoltatori terți. Este pentru agențiile de sănătate publică, iar când munca a fost finalizată de dezvoltatorii acestor agenții, veți descărca o aplicație de la acestea.
Sursă: Bloomberg
Actualizarea 5: Capturi de ecran, fără urmărire a locației
Apple și Google continuă să lanseze mai multe informații despre Exposure Notification API. În primul rând, companiile au împărtășit câteva linii directoare pe care autoritățile de sănătate publică vor trebui să le urmeze pentru a avea aplicațiile de urmărire a contractelor în magazinele de aplicații respective. Aplicațiilor le este interzis să colecteze date despre locația dispozitivului, API-ul este limitat la o aplicație per țară, iar datele colectate nu pot fi folosite pentru publicitate direcționată.
Limita API de o aplicație per țară este de a reduce fragmentarea, dar Apple și Google vor fi flexibili și vor colabora cu guvernele din țările care ar putea avea nevoie de mai multe aplicații. De exemplu, țările în care urmărirea contactelor se face la nivel regional sau de către state.
Apple și Google au împărtășit, de asemenea, câteva capturi de ecran machete ale modului în care ar trebui să arate setările și aplicațiile de notificare de expunere. Imaginea de mai sus arată noua secțiune „Notificări de expunere la COVID-19” din Serviciile Google Play. Această secțiune arată dacă este activată și ce aplicații sunt capabile să trimită notificări de expunere. Utilizatorii pot lansa aplicația de aici și pot vedea câte „verificări ale expunerii” au fost efectuate în ultimele 14 zile, pot șterge ID-uri aleatorii și pot dezactiva notificările.
Google a distribuit, de asemenea, câteva exemple de capturi de ecran (mai sus) despre cum ar putea arăta o aplicație care utilizează API-ul Exposure Notification. Codul sursă pentru această aplicație a fost publicat pe pagina Github a companiei dacă agențiile de sănătate doresc să-l folosească pentru a crea aplicații.
Surse: VentureBeat, 9to5Google, 9to5Google
Actualizare 6: API Live
După câteva săptămâni de pregătire, Apple și Google își lansează acum API-urile de notificare de expunere pentru a fi utilizate de agențiile de sănătate publică. Google, în special, lansează o actualizare a serviciilor Google Play care include noul API. Dezvoltatorii de la agențiile de sănătate publică pot folosi acum aceste API-uri pentru a implementa aplicații de urmărire a contactelor pentru COVID-19. Trei state din SUA au anunțat deja proiecte în dezvoltare folosind acest API. 22 de țări în total au primit acces la API, dar nu știm exact care țări.
Sursă: Google, The Verge