12 domande sul nuovo progetto di monitoraggio del coronavirus di Apple e Google


12 domande sul nuovo progetto di monitoraggio del coronavirus di Apple e Google

Venerdì scorso Google e Apple hanno comunicato di essersi uniti per un ambizioso progetto di emergenza, definendo un nuovo protocollo per il monitoraggio dell'epidemia di coronavirus in corso. Si tratta di un progetto urgente e complesso, con enormi implicazioni per la privacy e la salute pubblica.

Progetti simili hanno avuto successo a Singapore e in altri Paesi, ma resta da vedere se le agenzie di sanità pubblica statunitensi saranno in grado di gestire un progetto di questo tipo - anche con le più grandi aziende tecnologiche del mondo che danno una mano.

I documenti tecnici pubblicati dalle due aziende rivelano molto su ciò che Apple e Google stanno effettivamente cercando di fare con questi dati sensibili, e dove il progetto fallisce. Così abbiamo fatto un tuffo in questi archivi e abbiamo cercato di rispondere alle dodici domande più pressanti.

 

1 - A cosa serve?

Quando qualcuno si ammala di una nuova malattia come il coronavirus di quest'anno, gli operatori sanitari cercano di contenere la diffusione rintracciando e mettendo in quarantena tutti coloro con cui la persona infetta è stata in contatto. Questo si chiama contact-tracing, ed è uno strumento cruciale per contenere le epidemie.

In sostanza, Apple e Google hanno costruito un sistema automatico di rintracciamento dei contatti. È diverso dal tradizionale sistema di rintracciamento dei contatti e probabilmente è più utile se combinato con i metodi convenzionali.

La cosa più importante è che può operare su una scala molto più ampia rispetto alla ricerca di contatti convenzionale, il che sarà necessario dato il grado di diffusione dell'epidemia nella maggior parte dei paesi. Poiché proviene da Apple e Google, alcune di queste funzionalità saranno eventualmente integrate anche in Android e iPhone a livello di sistema operativo. Questo rende questa soluzione tecnica potenzialmente disponibile a più di tre miliardi di telefoni in tutto il mondo - cosa che altrimenti sarebbe impossibile.

È importante notare che ciò su cui Apple e Google stanno lavorando insieme è un framework e non un'app. Stanno garantendo la privacy e la sicurezza del sistema, ma lasciando ad altri la costruzione delle vere e proprie app che lo utilizzano.

 

2- Come funziona?

In termini di base, questo sistema permette al vostro telefono di registrare altri telefoni che sono stati nelle vicinanze. Finché questo sistema è in funzione, il telefono emette periodicamente un piccolo codice unico e anonimo, derivato dall'ID univoco del telefono. Gli altri telefoni nel raggio d'azione ricevono quel codice e lo ricordano, creando un registro dei codici che hanno ricevuto e quando li hanno ricevuti.

Quando una persona che utilizza il sistema riceve una diagnosi positiva, può scegliere di inviare il proprio codice identificativo a una banca dati centrale. Quando il telefono ricontrolla con quel database, esegue una scansione locale per vedere se uno qualsiasi dei codici nel suo registro corrisponde agli ID nel database. Se c'è una corrispondenza, si riceve un avviso sul telefono che dice che è stato esposto.

Questa è la versione semplice, ma si può già vedere quanto questo tipo di sistema possa essere utile. In sostanza, consente di registrare i punti di contatto (cioè ciò di cui hanno bisogno i tracciatori di contatti) senza raccogliere dati precisi sulla posizione e mantenendo solo informazioni minime nel database centrale.

 

3- Come si può affermare di essere stati contagiati?

I documenti rilasciati sono meno dettagliati su questo punto. Si presume che solo i fornitori di assistenza sanitaria legittimi saranno in grado di presentare una diagnosi, per garantire che solo le diagnosi confermate generino degli allarmi. (Non vogliamo che troll e ipocondriaci inondino il sistema). Non è del tutto chiaro come ciò accadrà, ma sembra un problema risolvibile, sia che venga gestito attraverso l'app o una sorta di autenticazione aggiuntiva prima che un'infezione venga registrata a livello centrale.

 

4- Come fa il telefono a inviare quei segnali?

La risposta breve è: tramite Bluetooth. Il sistema funziona con le stesse antenne dei vostri auricolari wireless, anche se è la versione Bluetooth Low Energy (BLE) delle specifiche, il che significa che non scarica la batteria in modo così evidente. Questo particolare sistema utilizza una versione del sistema BLE Beacon che è in uso da anni, modificato per funzionare come scambio di codice bidirezionale tra telefoni.

Il flusso di lavoro per la trasmissione di codici su Bluetooth lo trovate nella specifica Bluetooth del sistema

 

5- Fino a che punto arriva il segnale?

Non lo sappiamo ancora. In teoria, BLE può registrare connessioni fino a 100 metri di distanza, ma dipende molto dalle specifiche impostazioni hardware ed è facilmente bloccata dai muri. Molti degli usi più comuni di BLE - come l'accoppiamento di una custodia AirPods con l'iPhone - hanno una portata effettiva che si avvicina ai sei pollici. Gli ingegneri del progetto sono ottimisti sul fatto di poter modificare la portata a livello di software attraverso la "trebbiatura" - essenzialmente, scartando i segnali a bassa resistenza - ma dato che non esiste ancora un software vero e proprio, la maggior parte delle decisioni in materia devono ancora essere prese.

Allo stesso tempo, non siamo del tutto sicuri di quale sia la portata migliore per questo tipo di allarme. Le regole di distanziamento sociale di solito raccomandano di stare a un metro e mezzo di distanza dagli altri in pubblico, ma questo potrebbe facilmente cambiare man mano che si apprende di più su come si diffonde il nuovo coronavirus. I funzionari saranno anche diffidenti nell'inviare così tanti avvisi che l'app diventa inutile, il che potrebbe rendere il raggio d'azione ideale ancora più piccolo.

 

6- Quindi è un'applicazione?

Più o meno. Nella prima parte del progetto (che dovrebbe essere terminato entro metà maggio), il sistema sarà integrato in app ufficiali di sanità pubblica, che invieranno i segnali BLE in sottofondo. Queste applicazioni saranno costruite da agenzie sanitarie statali, non da aziende tecnologiche, il che significa che le agenzie saranno responsabili di molte decisioni importanti su come notificare agli utenti e cosa raccomandare se una persona è stata esposta.

Alla fine, il team spera di costruire questa funzionalità direttamente nei sistemi operativi iOS e Android, in modo simile a una dashboard nativa o a un interruttore nel menu Impostazioni. Ma ci vorranno mesi, e gli utenti saranno comunque invitati a scaricare un'applicazione ufficiale per la salute pubblica se hanno bisogno di inviare informazioni o ricevere un avviso.

 

7- È davvero sicuro?

Per lo più, sembra che la risposta sia sì. Sulla base dei documenti pubblicati venerdì, sarà piuttosto difficile tornare a lavorare su qualsiasi informazione sensibile basata esclusivamente sui codici Bluetooth, il che significa che è possibile eseguire l'applicazione in background senza preoccuparsi di compilare qualcosa di potenzialmente incriminante. Il sistema stesso non ti identifica personalmente e non registra la tua posizione. Naturalmente, le applicazioni sanitarie che utilizzano quel sistema dovranno sapere chi sei se vuoi caricare la tua diagnosi presso i funzionari sanitari.

 

8- Gli hacker potrebbero usare questo sistema per fare una grande lista di tutti coloro che hanno avuto la malattia?

Sarebbe molto difficile, ma non impossibile. Il database centrale memorizza tutti i codici inviati dalle persone infette mentre erano contagiose (questo è ciò che il vostro telefono sta verificando), ed è del tutto plausibile che un cattivo attore possa ottenere quei codici. Gli ingegneri hanno fatto un buon lavoro per garantire che non si possa lavorare direttamente da quei codici all'identità di una persona, ma è possibile immaginare alcuni scenari in cui quelle protezioni si rompono.

Per spiegarne il motivo, dobbiamo diventare un po' più tecnici. La specifica di crittografia prevede tre livelli di chiavi per questo sistema: una chiave master privata che non lascia mai il dispositivo, una chiave di tracciamento giornaliera generata dalla chiave privata, e poi la stringa di "ID di prossimità" che vengono generati dalla chiave giornaliera. Ognuno di questi passaggi viene eseguito attraverso una funzione unidirezionale crittograficamente robusta - in modo da poter generare una chiave di prossimità da una chiave giornaliera, ma non il contrario. Ancora più importante, è possibile vedere quali chiavi di prossimità provengono da una specifica chiave giornaliera, ma solo se si inizia con la chiave giornaliera in mano.

Il log del telefono è un elenco di ID di prossimità (il livello più basso di chiave), quindi non sono molto buoni da soli. Se il test è positivo, si condivide ancora di più, pubblicando le chiavi giornaliere per ogni giorno in cui si è stati contagiati. Poiché quelle chiavi giornaliere sono ora pubbliche, il vostro dispositivo può fare i conti e dirvi se uno qualsiasi degli ID di prossimità nel vostro registro proviene da quella chiave giornaliera; se è così, genera un allarme.

Come sottolinea il crittografo Matt Tait, questo porta a una significativa riduzione della privacy per le persone che risultano positive a questo sistema. Una volta che le chiavi giornaliere sono pubbliche, è possibile scoprire quali ID di prossimità sono associati a un determinato ID. (Ricordate, questo è ciò che l'app dovrebbe fare per confermare l'esposizione). Mentre le applicazioni specifiche possono limitare le informazioni che condividono e sono sicuro che tutti faranno del loro meglio, ora sei fuori dalle dure protezioni della crittografia. È possibile immaginare un'app dannosa o una rete di sniffing Bluetooth che raccoglie in anticipo gli ID di prossimità, collegandoli con specifiche identità e correlandoli successivamente alle chiavi giornaliere raschiate dalla lista centrale. Sarebbe difficile farlo e lo sarebbe ancora di più per ogni singola persona della lista. Anche in questo caso, tutto ciò che si otterrebbe dal server sarebbero i codici degli ultimi 14 giorni. (Questo è tutto ciò che è rilevante per la tracciatura dei contatti, quindi sono tutti i database centrali). Ma non sarebbe del tutto impossibile, che di solito è quello che si cerca nella crittografia.

Per riassumere: è difficile garantire in modo assoluto l'anonimato di qualcuno se si condivide il fatto di essere risultato positivo attraverso questo sistema. Ma in difesa del sistema, questa è una garanzia difficile da fare in qualsiasi circostanza. Sotto la distanza sociale, stiamo tutti limitando i nostri contatti personali, quindi se si viene a sapere di essere stati esposti in un determinato giorno, la lista dei potenziali vettori sarà già abbastanza breve. Aggiungete la quarantena e, a volte, il ricovero ospedaliero che viene fornito con una diagnosi COVID-19, ed è molto difficile mantenere completamente intatta la privacy medica, mentre si avverte comunque la gente che potrebbe essere stata esposta. Per certi versi, questo compromesso è inerente alla rintracciabilità dei contatti. I sistemi tecnici possono solo mitigarlo.

Inoltre, il miglior metodo di ricerca dei contatti che abbiamo al momento consiste nell'intervistare gli esseri umani e chiedere con chi è stato in contatto. È praticamente impossibile costruire un sistema di ricerca dei contatti completamente anonimo.

 

9- Google, Apple o un hacker potrebbero usarlo per capire dove sono stato?

Solo in circostanze molto specifiche. Se qualcuno sta raccogliendo i tuoi ID di prossimità e tu sei risultato positivo al test e decidi di condividere la tua diagnosi e lui esegue l'intera trafila descritta sopra, potrebbe potenzialmente usarlo per collegarti a un luogo specifico dove i tuoi ID di prossimità sono stati individuati in natura.

Ma è importante notare che né Apple né Google condividono informazioni che potrebbero collocarvi direttamente su una mappa. Google ha molte di queste informazioni e l'azienda le ha condivise a livello aggregato, ma non fa parte di questo sistema. Google e Apple possono sapere dove vi trovate già, ma non stanno collegando queste informazioni a questo set di dati. Quindi, mentre un aggressore potrebbe essere in grado di lavorare di nuovo a quelle informazioni, finirebbe comunque per sapere meno della maggior parte delle applicazioni sul tuo telefono.

 

10- Qualcuno potrebbe usare questo per capire con chi sono stato in contatto?

Questo sarebbe molto più difficile. Come già detto, il telefono tiene un registro di tutti gli ID di prossimità che riceve, ma le specifiche indicano chiaramente che il registro non deve mai lasciare il telefono. Finché il vostro registro specifico rimane sul vostro dispositivo specifico, è protetto dalla stessa crittografia del dispositivo che protegge i vostri testi e le vostre e-mail.

Anche se un cattivo attore ha rubato il vostro telefono ed è riuscito a penetrare in quella sicurezza, tutto ciò che avrebbe avuto sono i codici che avete ricevuto, e sarebbe molto difficile capire da chi provenivano quelle chiavi. Senza una chiave giornaliera da cui lavorare, non avrebbero un modo chiaro di correlare un ID di prossimità con un altro, quindi sarebbe difficile distinguere un singolo attore nel pasticcio dei tracker Bluetooth, tanto meno capire chi si incontrava con chi. E soprattutto, la robusta crittografia rende impossibile ricavare direttamente la chiave giornaliera associata o il numero di identificazione personale associato.

 

11- E se non volessi che il mio telefono faccia questo?

Non installate l'app e quando i sistemi operativi si aggiornano durante l'estate, lasciate disattivata l'impostazione "contact tracing". Apple e Google insistono sul fatto che la partecipazione è volontaria e, a meno che non si prendano misure proattive per partecipare alla ricerca di contatti, si dovrebbe essere in grado di utilizzare il telefono senza essere coinvolti in alcun modo.

 

12- È solo un sistema di sorveglianza sotto mentite spoglie?

Questa è una domanda complicata. In un certo senso, la ricerca di contatti è sorveglianza. Il lavoro della sanità pubblica è pieno di sorveglianza medica, semplicemente perché è l'unico modo per trovare persone infette che non sono abbastanza malate da andare da un medico. La speranza è che, visti i danni catastrofici già fatti dalla pandemia, la gente sia disposta ad accettare questo livello di sorveglianza come misura temporanea per arginare l'ulteriore diffusione del virus.

Una domanda migliore è se questo sistema sta conducendo la sorveglianza in modo equo o utile. È molto importante che il sistema sia volontario, ed è molto importante che non condivida più dati del necessario. Tuttavia, tutto ciò che abbiamo al momento è il protocollo, e resta da vedere se i governi cercheranno di implementare questa idea in modo più invasivo o prepotente.

Man mano che il protocollo viene implementato in app specifiche, ci saranno molte decisioni importanti su come viene utilizzato e su quanti dati vengono raccolti al di fuori di esso. I governi prenderanno queste decisioni, e potrebbero prenderle male - o peggio, potrebbero non prenderle affatto. Quindi, anche se siete entusiasti di ciò che Apple e Google hanno esposto qui, possono solo lanciare la palla - e c'è molto da fare dopo che i governi l'hanno presa.

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.