גוגל
בשיתוף פעולה נועז ושאפתני, אפל וגוגל מפתחות פלטפורמת סמארטפון שמנסה לעקוב אחר התפשטות נגיף הקורונה החדש בקנה מידה ובמקביל לשמור על הפרטיות של משתמשי iOS ואנדרואיד הבוחרים זה.
המערכת חוצת הפלטפורמות תשתמש ביכולות הקרבה המובנות בשידורי Bluetooth Low Energy כדי לעקוב אחר המגעים הפיזיים של משתמשי הטלפון המשתתפים. אם משתמש מאוחר יותר ימצא חיובי ל-COVID-19, המחלה הנגרמת על ידי נגיף הקורונה, הוא יכול לבחור להזין את התוצאה באפליקציה שאושרה על ידי משרד הבריאות. לאחר מכן, האפליקציה תיצור קשר עם כל משתמשי הטלפון המשתתפים האחרים שהגיעו לאחרונה בטווח של שישה מטרים ממנה.
לקריאה נוספת
מגפות: האם אנחנו צריכים אפליקציה בשביל זה?ממתן את הגרוע מכל
אבל בעוד שמעקב אחר אנשי קשר מבוסס נייד עשוי להיות יעיל יותר, הוא גם מהווה איום רציני על פרטיות הפרט, מכיוון שהוא נפתח הדלת למאגרי מידע מרכזיים שעוקבים אחר התנועות והאינטראקציות החברתיות של מיליוני, ואולי מיליארדי אֲנָשִׁים. הפלטפורמה שמפתחות אפל וגוגל משתמשת בתכנית קריפטוגרפית חדשנית שמטרתה לאפשר מעקב אחר אנשי קשר לעבודה בקנה מידה מבלי להוות סיכון לפרטיות של מי שמצטרף ל- מערכת.
תומכי הפרטיות - למעט חריג בולט אחד לפחות - נתנו לרוב אישור מוסמך למערכת, אומר שלמרות שהתוכנית הסירה כמה מהאיומים המיידיים ביותר, היא עדיין עשויה להיות פתוחה התעללות.
"יאמר לזכותן, אפל וגוגל הכריזו על גישה שנראית כמפחיתה את סיכוני הפרטיות והריכוזיות הגרועים ביותר, אך יש עדיין מקום לשיפור", כתבה ג'ניפר גרניק, יועצת מעקב ואבטחת סייבר של האיגוד האמריקאי לחירויות האזרח. ב הַצהָרָה. "אנחנו נמשיך להיות ערניים קדימה כדי לוודא שכל אפליקציית מעקב אחר אנשי קשר תישאר וולונטרית ומבוזרת, ותשמש רק למטרות בריאות הציבור ורק למשך מגיפה זו."
שלא כמו מעקב אחר אנשי קשר מסורתי, פלטפורמת הטלפון אינה אוספת שמות, מיקומים או מידע מזהה אחר. במקום זאת, כאשר שני משתמשים או יותר המצטרפים למערכת באים במגע פיזי, הטלפונים שלהם משתמשים ב-BLE כדי להחליף משואות מזהות אנונימיות. המזהים - שבז'רגון הטכני ידועים כמזהי קרבה מתגלגלת - משתנים בערך כל 15 דקות כדי למנוע מעקב אלחוטי אחר מכשיר.
כשהמשתמשים מסתובבים ומתקרבים לאחרים, הטלפונים שלהם ממשיכים להחליף את המזהים האנונימיים הללו. מעת לעת, המכשירים של המשתמשים יורידו גם מזהי משואות שידור של כל מי שנבדק חיובי ל-COVID-19 והיה באותו אזור מקומי.
במקרה שמישהו ידווח למערכת שהיא נבדקה חיובית, הטלפון שלה ייצור קשר עם שרת מרכזי ויעלה 14 ימים של המזהים שלה. משתמשים לא נגועים מורידים מפתחות מעקב יומיים, ובגלל האופן שבו כל מזהה קרבה מתגלגל נוצר, טלפונים של משתמשי קצה יכולים ליצור אותם מחדש באינדקס לפי זמן רק ממפתח המעקב היומי עבור כל יְוֹם. שתי השקופיות הבאות עוזרות להמחיש ברמה גבוהה כיצד המערכת פועלת.
גוגל
גוגל
אפל וגוגל מספקות הבטחות אחרות, כולל:
- נדרשת הסכמה מפורשת של המשתמש
- אינו אוסף מידע אישי מזהה או נתוני מיקום משתמש
- רשימת האנשים שאיתם היית בקשר לא עוזבת את הטלפון שלך
- אנשים שנבחנים חיוביים אינם מזוהים למשתמשים אחרים, גוגל או אפל
- ישמש רק לאיתור מגע על ידי רשויות בריאות הציבור לניהול מגיפת COVID-19
- לא משנה אם יש לך טלפון אנדרואיד או אייפון - עובד בשניהם
איך זה עובד (בתיאוריה)
ג'ון קאלאס, מומחה להצפנה ועמית טכנולוגיה בכיר ב-ACLU, אמר לי שהתוכנית דומה לדרך בה הגרלת כרטיסים עבודה, כשצד אחד מקבל חצי כרטיס נייר, הצד השני מקבל את החצי השני, ולפחות בתיאוריה אף אחד אחר לא חכם יותר. כאשר שני משתמשי טלפון מגיעים לקרבה פיזית, משדרי ה-BLE שלהם מחליפים כרטיסים. קאלאס אמר שתוכנית מעקב דומה ל-COVID-19 הידועה בשם איתור קרבה לשימור פרטיות פאן-אירופי נראה שעובד בערך באותו אופן.
"אני שומר רשימה של כל הכרטיסים שיש לי", אמר. "אם אליס נבדקת חיובית, היא משחררת את הכרטיסים שלה ואם אלה שיש לי תואמים, אני יודע שהיה לי קשר עם אדם חיובי". קאלאס המשיך והזהיר כי אי בהירות בזרימה של הן פלטפורמת אפל-גוגל והן ה-Pan-European Privacy-Preserving Proximity Tracing משאירים אפשרות של ניצול לרעה פתוחה מכיוון שעדיין לא ברור לאילו צדדים יש גישה לאיזה כרטיסים.
"אם אליס תשחרר את הכרטיסים שהיא שלחה ו אלה שהיא קיבלה, היא יוצאת מהאנשים שהיו בקרבתה", אמר.
קאלאס אמר שהוא היה מעורב בפיתוח תוכנית מעקב שלישית הידועה בשם PACT, קיצור של מעקב פרטי אוטומטי אחר אנשי קשר. לעומת זאת, לדבריו, יש לה הבטחות שצדדים יכולים לשחרר כרטיסים שנשלחו בלבד.
מתחנן להבדיל
Moxie Marlinspike, האקר ומפתח שיש לו את שניהם תוכניות קריפטו מתקדמות שבורות ו בנה אותם, היה בין המבקרים הקולניים ביותר של התוכנית כפי שנקבעה. ב שרשור טוויטר שניתח את האינטראקציה בין ה-API והקריפטוגרפיה, הוא העלה ספקות רציניים לגבי התוכנית.
"אז אזהרה ברורה ראשונה היא שזה 'פרטי' (או לפחות לא יותר גרוע מ-BTLE), *עד* לרגע שבו אתה מבחין חיובי", כתב ב- ציוץ אחד. "בשלב זה כל כתובות ה-mac BTLE שלך [כתובות BLE MAC] במהלך התקופה הקודמת הופכות לקישוריות. למה הם משתנים מלכתחילה? כי המעקב הוא כבר בעיה".
אז זה לוקח את הפרטיות של BTLE צעד אחורה. אני לא מבין למה כל טכנולוגיית מעקב המשואות הקיימת לא תשלב את זה בערימות שלהם.
בשלב הזה adtech (לפחות) כנראה יודע מי אתה, איפה היית ושאתה קוביד+.
- Moxie Marlinspike (@moxie) 10 באפריל, 2020
Marlinspike, שהוא היוצר של אפליקציית המסנג'ר המוצפנת Signal ומנכ"ל החברה מנהל את זה, אמר שהחולשה הבאה היא כמות הנתונים שאולי צריך להעביר למשתמש טלפונים:
אזהרה שניה היא שנראה שסביר להניח שנתוני מיקום יצטרכו להיות משולבים עם מה שמסגרת המכשיר נותנת לך.
מפתחות שפורסמו הם 16 בתים, אחד לכל יום. אם מספר מתון של משתמשי סמארטפונים נדבקים בכל שבוע נתון, זה 100 אלפיות מגה-בייט עבור כל הטלפונים ל-DL
זה נראה בלתי נסבל. אז כדי להיות שמישים, מפתחות שפורסמו יצטרכו להיות מועברים בצורה 'ממוקדת' יותר, מה שכנראה אומר... נתוני מיקום.
זה נראה בלתי נסבל. אז כדי להיות שמישים, מפתחות שפורסמו יצטרכו להיות מועברים בצורה 'ממוקדת' יותר, מה שכנראה אומר... נתוני מיקום.
- Moxie Marlinspike (@moxie) 10 באפריל, 2020
חולשה אפשרית נוספת: טרולים עשויים לפקוד אזורים מסוימים ולאחר מכן לדווח על זיהום שווא, מה שגורם למספר גדול של אנשים לחשוב שאולי נחשפו. ניתן למנוע מעשים זדוניים מסוג זה על ידי דרישת חתימה דיגיטלית של תוצאות הבדיקה על ידי מרכז בדיקות, אך פרטים שפורסמו ביום שישי לא התייחסו לחששות הללו. וריאציה של זיוף תוצאות חיוביות היא העברת תעודות BLE שנאספו מבית חולים או אזור ממוקד אחר.
הטכנולוג ועו"ד הפרטיות אשקן סולטני סיפק ביקורת פרטיות נוספת שרשור הטוויטר הזה:
לדעתי - סוגי נתונים אלה הם פרוקסי גרועים לאמת הקרקע שאנו באמת מחפשים: בפועל #COVID 19 שיעורי זיהום -- שניתן לדעת באמת רק על ידי בדיקות נרחבות. אם היו לנו בדיקות במקום, זה היה הופך את הצורך להמשיך בטכניקות פולשניות הפרטיות הללו למעורפל
— ashkan soltani (@ashk4n) 10 באפריל, 2020
Soltani סיפק פרטים שימושיים אחרים כאן ו כאן.
קורא את המפרט
ההצפנה שמאחורי המזהים האנונימיים והמשתנים ללא הרף מפורטת מפרט זה, שבין היתר מבטיח כי:
- לוח הזמנים של המפתח קבוע ומוגדר על ידי רכיבי מערכת ההפעלה, ומונע יישומים
מהכללת מידע סטטי או צפוי שיכול לשמש למעקב. - לא ניתן לתאם את מזהי הקרבה המתגלגלת של משתמש ללא מפתח המעקב היומי. זֶה
מפחית את הסיכון לאובדן פרטיות מהפרסום שלהם. - מפעיל שרת המיישם פרוטוקול זה אינו לומד עם מי היו המשתמשים בקרבת מקום
או מיקום המשתמשים אלא אם כן יש לו גם את היכולת הבלתי סבירה לסרוק פרסומות ממשתמשים אשר
דיווח לאחרונה על מפתחות אבחון. - ללא שחרור מפתחות המעקב היומי, אין זה אפשרי מבחינה חישובית עבור תוקף
למצוא התנגשות על מזהה קרבה מתגלגלת. זה מונע מגוון רחב של שידורים חוזרים ו
התקפות התחזות. - בעת דיווח על מפתחות אבחון, המתאם של מזהי קרבה מתגלגלים על ידי אחרים מוגבל ל
פרקי זמן של 24 שעות עקב השימוש במפתחות מעקב יומיים. אסור לשרת לשמור מטא נתונים מלקוחות
העלאת מפתחות אבחון לאחר הכללתם ברשימה המצטברת של מפתחות אבחון ליום.
נפרד מפרט בלוטות', בינתיים, דורש כי:
- מפרט ה-Bluetooth למעקב אחר אנשי קשר אינו מחייב את מיקומו של המשתמש; כל שימוש במיקום הוא אופציונלי לחלוטין לסכימה. בכל מקרה, על המשתמש לספק את הסכמתו המפורשת על מנת שניתן יהיה להשתמש במיקומו באופן אופציונלי.
- מזהי קרבה מתגלגלים משתנים בממוצע כל 15 דקות, מה שהופך את זה לא סביר שניתן לעקוב אחר מיקום המשתמש באמצעות Bluetooth לאורך זמן.
- מזהי קרבה המתקבלים ממכשירים אחרים מעובדים אך ורק במכשיר.
- משתמשים מחליטים אם לתרום לאיתור אנשי קשר.
- אם אובחנו כחולי COVID-19, המשתמשים מסכימים לשיתוף מפתחות אבחון עם השרת.
- למשתמשים יש שקיפות לגבי השתתפותם במעקב אחר אנשי קשר.
מגיע לטלפון קרוב אליך
אפל וגוגל מתכננות לשחרר ממשקי תכנות iOS ואנדרואיד במאי. הם יהיו זמינים לרשויות בריאות הציבור לפיתוח אפליקציות הפועלות על מערכת הפעלה ניידת אחת כדי לעבוד עם אפליקציות הפועלות על השנייה. לאחר מכן, האפליקציות הרשמיות יהיו זמינות להורדה ב-App Store וב-Google Play של אפל. בסופו של דבר, החברות מתכננות להכניס פונקציונליות מעקב ישירות לתוך מערכת ההפעלה. ככל הנראה, משתמשים יכולים להפעיל את הפונקציונליות עם שינוי הגדרה.
מלבד סיכוני הפרטיות, ישנם פגמים פוטנציאליים נוספים. המערכת עלולה לגרום לאזעקה מיותרת אם היא שולחת אזהרה שמישהו נחשף, כאשר למעשה הצד השני מתגורר באותו בניין דירות אך ביחידות נפרדות. Bluetooth נוטה גם למגוון פגמים שיכולים לפגוע באמינות שלו ו מדי פעם הביטחון שלו.
ישנם פרטים חשובים רבים שעדיין אינם זמינים והם חיוניים להבנת סיכוני הפרטיות של המערכת שאפל וגוגל בונות. בזמנים רגילים, זה יכול להיות מובן מאליו לייעץ לאנשים לבטל את הסכמתם. בהתחשב במשבר הבריאות העולמי שמציג המגפה המתמשכת, הקריאה תהיה הרבה יותר קשה הפעם.
הפוסט עודכן כדי לתקן את המידע שהועלה מהטלפון של מישהו שנבדק חיובי.
