Google и Apple анонсировали API отслеживания контактов и спецификацию Bluetooth для борьбы с COVID-19, предупреждая пользователей, которые могли подвергнуться воздействию SARS-CoV-2.
Обновление 6 (20.05.2020, 13:55 по восточному стандартному времени): API-интерфейсы Google и Apple для уведомлений о воздействии теперь доступны агентствам общественного здравоохранения, поэтому они могут осуществлять отслеживание контактов для COVID-19.
Обновление 5 (4 мая 2020 г., 15:25 по восточному стандартному времени): Apple и Google поделились скриншотами API уведомления о воздействии и объявили, что отслеживание местоположения будет запрещено.
Обновление 4 (29.04.2020, 14:30 по восточному стандартному времени): Apple и Google выпустили бета-версию своего API уведомления о воздействии для агентств общественного здравоохранения.
Обновление 3 (24.04.2020, 15:15 по восточному стандартному времени): Apple и Google переименовывают API отслеживания контактов в «Уведомление о воздействии», что обеспечивает дополнительную защиту конфиденциальности.
Обновление 2 (24.04.2020, 11:30 по восточному стандартному времени): API отслеживания контактов Apple и Google будет запущен на следующей неделе и будет включать большинство устройств Huawei.
Обновление 1 (13.04.2020, 17:51 по восточному стандартному времени): Во время телефонной конференции с журналистами Google и Apple уточнили некоторые подробности о том, как отслеживание контактов будет внедряться для пользователей.
В связи с продолжающейся угрозой, исходящей от SARS-CoV-2, Google и Apple объединились, чтобы объявить о новой спецификации API и Bluetooth Low Energy под названием «Contact». Отслеживание». Идея отслеживания контактов заключается в том, чтобы информировать пользователей, если они недавно контактировали с кем-то, у кого был диагностирован положительный диагноз. COVID-19. Южная Корея и Тайвань успешно «сгладили кривую», ограничив количество новых случаев. опуститься ниже возможностей своих систем здравоохранения путем проведения широкомасштабного тестирования и контактного отслеживание. Согласно Ассошиэйтед ПрессНесколько стран Европы, включая Чехию, Великобританию, Германию и Италию, разрабатывают свои собственные инструменты отслеживания контактов. Apple и Google надеются предоставить странам и медицинским организациям по всему миру возможность отслеживать распространение вируса. новый коронавирус, но обе компании также осознают потенциальные проблемы конфиденциальности, связанные с сдерживанием этой пандемии. метод. Вот почему обе компании создали новую спецификацию API и Bluetooth, «в центре внимания которой лежат конфиденциальность и безопасность пользователей».
Google и Apple опубликовали сообщения в блогах и документы, в которых излагаются их цели по развертыванию нового API и службы Bluetooth LE. В связи с острой необходимостью обе компании решают эту проблему в два этапа. Во-первых, в мае обе компании выпустят API, который «[обеспечивает] взаимодействие между устройствами Android и iOS с помощью приложений». от органов общественного здравоохранения». Эти приложения будут доступны для загрузки пользователями в Google Play Store и Apple App. Магазин. На Android API, скорее всего, станет доступен для приложений после обновления сервисов Google Play. Во-вторых, в ближайшие несколько месяцев и Google, и Apple добавят поддержку нового сервиса Bluetooth Low Energy в Android и iOS. Для iOS этот новый сервис BLE, скорее всего, появится через обновление ОС, а для Android этот сервис, скорее всего, будет добавлен как часть другого обновления Сервисов Google Play. Google заявляет, что добавление службы отслеживания контактов Bluetooth LE «является более надежным решением, чем API, и позволит большему количеству людей участвовать, если они захотят принять участие, а также обеспечивать взаимодействие с более широкой экосистемой приложений и государственного здравоохранения. власти."
После того как приложение интегрирует новый API или будет интегрирована спецификация BLE, пользователи Android и iOS смогут получать уведомления, если они недавно контактировали с кем-то, у кого был диагностирован COVID-19. Примечательно, что решение BLE не потребует от пользователя установки приложения (предположительно, ему просто нужны сервисы Google Play), но если они решат установить одно из официальных приложений, то приложение может проинформировать их о следующих шагах после получения уведомление. Это позволит пользователям решить, нужно ли им самоизолироваться на 14 дней или пройти тестирование и дальнейшее медицинское вмешательство. Вот пример того, что, по мнению Google и Apple, станет возможным с помощью этой новой службы Bluetooth LE:
Обзор отслеживания контактов COVID-19 с использованием Bluetooth Low Energy. Источник: Google/Apple.
Вот что говорит Google о том, как они разработали новый API отслеживания контактов Android для защиты конфиденциальности и безопасности пользователей:
- Приложениям, вызывающим API через метод startContactTracing, необходимо получить согласие пользователя на начало отслеживания контактов. Если это первый вызов API, пользователю будет показано диалоговое окно с запросом разрешения на начало отслеживания.
- Чтобы попасть в белый список для использования этого API, приложения «должны будут поставить временную метку и криптографически подписать набор ключей перед доставкой в сервер с подписью уполномоченного медицинского учреждения». Другими словами, неавторизованным приложениям, связанным с COVID-19, не будет разрешено использовать этот сервер. API.
- Если пользователь удалит приложение, метод stopContactTracing «будет автоматически вызван, а база данных и ключи будут удалены с устройства».
- Пользователь, подтвердив положительный диагноз COVID-19, должен дать явное согласие на загрузку 14-дневных ключей ежедневного отслеживания. Пользователю будет показано диалоговое окно, если приложение вызовет метод startSharingDailyTracingKeys.
- Пользователям будет показано, в какой день и как долго они контактировали с потенциально заразным человеком (с шагом в 5 минут), но не будет указано, кто и где произошел контакт.
Вот как новая служба обнаружения контактов BLE защитит конфиденциальность и безопасность пользователей:
- Спецификация не требует местоположения пользователя или какой-либо другой личной информации. Использование местоположения совершенно необязательно и осуществляется только после того, как пользователь предоставит явное согласие.
- Скользящие идентификаторы близости меняются в среднем каждые 15 минут, что делает «маловероятным, что местоположение пользователя можно будет отслеживать через Bluetooth с течением времени».
- Идентификаторы близости, полученные с других устройств, «обрабатываются исключительно на устройстве». Это означает, что «список людей, с которыми вы общались, никогда не покидает ваш телефон».
- Пользователь сам решает, хочет ли он внести свой вклад в отслеживание контактов. Пользователи, у которых диагностирован COVID-19, должны дать согласие на передачу ключей диагностики на сервер. Участие пользователя в отслеживании контактов будет прозрачным, и «люди с положительным результатом теста не будут идентифицированы другими пользователями». Google или Apple». Фактически, эта информация «будет использоваться органами общественного здравоохранения только для отслеживания контактов в связи с пандемией COVID-19. управление."
- Если вам интересно, служба обнаружения контента не должна значительно разряжать батарею устройства, если оборудование и операционная система поддержка «дублирующих фильтров контроллера Bluetooth и других [аппаратных] фильтров» для «учета большого количества рекламодателей в общественных местах». Сканирование является «оппортунистическим», то есть оно может происходить в рамках существующих циклов пробуждения и сканирования, но также будет происходить минимум каждые 5 минут.
Поскольку новые спецификации отслеживания контактов разработаны с учетом конфиденциальности и безопасности пользователей, остается спорным, насколько эффективны они будут в ограничении распространения COVID-19. В соответствии с Грань, такие добровольные неинвазивные меры по отслеживанию контактов могут иметь ограниченную эффективность. Проблемы сводятся к недостаточному широкому распространению среди населения и потенциально большому количеству ложноположительных событий близости Bluetooth. Тем не менее, я надеюсь, что эта новая инициатива окажется успешной. Редко можно увидеть сотрудничество Google и Apple в чем-либо, но отчаянные времена требуют отчаянных мер.
Источники: Сообщение в блоге Google, Обзор отслеживания контактов с COVID-19, Спецификация BLE для отслеживания контактов, Спецификация криптографии отслеживания контактов, Спецификация API отслеживания контактов Android
Обновление 1: Более подробная информация
В ходе телеконференции с журналистами Google и Apple прояснили некоторые моменты относительно предстоящего API отслеживания контактов. (развертывается в середине мая в рамках «фазы 1») и BLE Contact Detection Service (развертывается позднее в этом году в рамках "фаза 2"). В соответствии с TechCrunch и АксиосAPI отслеживания контактов и служба обнаружения контактов BLE будут доступны на устройствах Android. после обновлений сервисов Google Play — при условии, что смартфон Android работает под управлением Android 6.0. Зефир. Пользователям не нужно будет вручную обновлять свои устройства или даже обновлять свою ОС, поскольку обновления сервисов Google Play происходят автоматически в фоновом режиме через Google Play Store.
Хотя внедрение службы обнаружения контактов BLE означает, что пользователям не нужно будет устанавливать приложение для участия в контакте. Google сообщает, что при отслеживании пользователей по-прежнему будет предлагаться загрузить соответствующее приложение общественного здравоохранения, если будет зафиксирован положительный контакт. обнаружен. Это поможет пользователям определить следующие шаги, которые им следует предпринять. Apple отмечает, что, хотя данные после локальной обработки на устройстве могут быть «перенаправлены» на серверы организаций общественного здравоохранения по всему миру, централизованного сервера данных не будет. Это затруднит ведение слежки любому правительству или другому злоумышленнику. В соответствии с Аксиос, страны могут использовать собственные серверы или использовать серверы Apple и Google. Чтобы люди не ставили ложноположительные диагнозы, Apple и Google работают с организациями общественного здравоохранения над способами подтверждения диагнозов.
Что произойдет с миллионами устройств без мобильных сервисов Google после подтверждения того, что Google внедрит отслеживание контактов на устройства Android через обновления сервисов Google Play? Я имею в виду, конечно, миллионы устройств в Китае и новейшие выпуски смартфонов от Huawei и Honor. В соответствии с ГраньGoogle «намеревается опубликовать структуру, которую эти компании могли бы использовать для репликации безопасного анонимного отслеживания». система, разработанная Google и Apple». Таким образом, третьи стороны должны решить, хотят ли они использовать эту система. Google не подтвердил, будет ли ее система отслеживания контактов иметь открытый исходный код, но заявили, что будут предлагать аудит кода компаниям, которые захотят внедрить эту систему.
Обновление 2: Первоначальное внедрение, участие Huawei
Первоначально планировалось, что запуск состоится в «середине мая», но похоже, что сроки отслеживания контактов Apple и Google сдвинулись вверх. По словам Тьерри Бретона, еврокомиссара по внутреннему рынку, первый этап плана начнется 28 апреля. Эту информацию господину Бретону предоставил генеральный директор Apple Тим Кук.
Этап 1 отслеживания контактов полностью посвящен API. Эти API будут использоваться разработчиками, работающими от имени агентств общественного здравоохранения, а не сторонних приложений. API-интерфейсы будут доступны через обновление сервисов Google Play, и большинство устройств с Android 6.0+ и Bluetooth Low Energy смогут поддерживать отслеживание контактов.
Конечно, последние устройства Huawei и Honor не имеют сервисов Google Play, но многие старые устройства все еще имеют их. ТехРадар подтверждает, что эти старые устройства, которые нет включая Huawei Mate 30, P40, Honor V30 и другие, будут включены в развертывание. Что касается других устройств Huawei/Honor, в предыдущей статье говорилось, что Google «намеревается опубликовать структуру, которую эти компании могли бы использовать для репликации безопасной анонимной системы отслеживания, разработанной Google и Яблоко."
Источник 1: Ле Эхо | С помощью: TechCrunch | Источник 2: ТехРадар
Обновление 3: дополнительная защита конфиденциальности
Apple и Google теперь называют план отслеживания контактов «уведомлением о риске заражения», что, по их словам, лучше описывает назначение этого инструмента. У нас также есть дополнительная информация о том, как органы здравоохранения могут настроить API и меры защиты конфиденциальности, которые будут реализованы.
API использует Bluetooth, чтобы определить, находились ли вы рядом с другими людьми с положительным результатом теста. но это может быть неточным (обнаружение людей, которые были недостаточно близко или позади стена). API будет делиться силой сигнала Bluetooth, чтобы органы здравоохранения могли установить собственный порог для того, что представляет собой «событие контакта».
API сообщит, сколько дней прошло с момента отдельного «события контакта». Точное время, в течение которого эти два человека находились в контакте, не указывается. Вместо этого он будет передавать только оценки времени воздействия от минимум 5 минут до максимум 30 минут с шагом в 5 минут. Органы здравоохранения могут использовать эту информацию, чтобы изменить свои рекомендации для пользователей в зависимости от того, как давно произошло событие.
Метаданные Bluetooth будут зашифрованы, чтобы защитить их от использования для отслеживания людей в ходе атак с обратной идентификацией. Эти метаданные включают уровень сигнала и другую информацию. Алгоритм шифрования заменяется на AES с HMAC, который они использовали раньше. Шифрование AES можно ускорить на многих мобильных устройствах, что делает API более энергоэффективным.
Наконец, ключи, используемые для отслеживания потенциальных контактов, теперь генерируются случайным образом, а не извлекаются каждые 24 часа из «ключа отслеживания», постоянно привязанного к конкретному устройству. Это исключает вероятность того, что злоумышленник, имеющий прямой доступ к устройству, сможет выяснить, как генерируются ключи из ключа трассировки, хотя это уже очень и очень сложно сделать.
Источник 1: Аксиос | Источник 2: Блумберг | Источник 3: TechCrunch
Обновление 4: доступны бета-версии API
Apple и Google запускают свои API-интерфейсы уведомления о воздействии (ранее называвшиеся «Отслеживание контактов») в рамках частной бета-версии, начиная с сегодняшнего дня. Google выпускает бета-обновление через Сервисы Google Play, поэтому они будут работать на любом устройстве Android 6.0+ с Bluetooth Low Energy. Агентства общественного здравоохранения могут начать использовать эти API в Android Studio и начать тестирование.
Стабильную версию API по-прежнему планируется выпустить в ближайшие недели. Как неоднократно заявляли обе компании, этот API не предназначен для использования сторонними разработчиками. Это для агентств здравоохранения, и когда разработчики этих агентств завершат работу, вы скачаете у них приложение.
Источник: Блумберг
Обновление 5: скриншоты, отсутствие отслеживания местоположения
Apple и Google продолжают публиковать дополнительную информацию об API уведомления о воздействии. Во-первых, компании поделились некоторыми рекомендациями, которым должны будут следовать органы общественного здравоохранения, чтобы их приложения для отслеживания контрактов были в соответствующих магазинах приложений. Приложениям запрещено собирать данные о местоположении устройства, API ограничен одним приложением на страну, а собранные данные не могут использоваться для таргетированной рекламы.
Ограничение API в одно приложение на страну призвано уменьшить фрагментацию, но Apple и Google проявят гибкость и будут работать с правительствами стран, которым может потребоваться несколько приложений. Например, страны, где отслеживание контактов осуществляется на региональном уровне или по штатам.
Apple и Google также поделились макетами скриншотов того, как должны выглядеть настройки и приложения уведомления о воздействии. На изображении выше показан новый раздел «Уведомления о воздействии COVID-19» в Сервисах Google Play. В этом разделе показано, включена ли она и какие приложения могут отправлять уведомления о риске заражения. Пользователи могут запустить приложение отсюда и посмотреть, сколько «проверок риска» было выполнено за последние 14 дней, удалить случайные идентификаторы и отключить уведомления.
Google также поделился несколькими примерами скриншотов (выше) того, как может выглядеть приложение, использующее API уведомления о воздействии. Исходный код этого приложения опубликован на страница компании на Github если учреждения здравоохранения захотят использовать его для создания приложений.
Источники: ВенчурБит, 9to5Google, 9to5Google
Обновление 6: API Live
После нескольких недель подготовки Apple и Google теперь выпускают свои API-интерфейсы уведомления о воздействии для использования агентствами общественного здравоохранения. В частности, Google выпускает обновление сервисов Google Play, которое включает новый API. Разработчики из агентств общественного здравоохранения теперь могут использовать эти API для реализации приложений для отслеживания контактов с COVID-19. Три штата США уже объявили о разработке проектов с использованием этого API. Всего доступ к API получили 22 страны, но какие именно страны мы не знаем.
Источник: Google, Грань