Apple и Google будут отслеживать заболевших коронавирусом с помощью bluetooth. Это угрожает моей приватности?

Технологические корпорации Apple и Google разработают API-решение для отслеживания контактов заболевших коронавирусом и информирования потенциальных переносчиков о необходимости самоизоляции. Оно будет использоваться в связке с приложениями от неназываемых служб здравоохранения.

Как будет работать решение и угрожает ли оно приватности пользователей — рассказывает независимый исследователь Андрей Тукманов.

В основе разработки лежит технология bluetooth: телефоны запоминают устройства вокруг и при появлении нового заболевшего сверяются с историей. Пока человек не заболел, вся история контактов хранится только на его телефоне и становится публичной, если получен положительный результат теста на COVID-19. В этот момент публикуются идентификаторы заболевшего. Каждое приложение сверяется с собственным списком и уведомляет пользователя об опасности.

Данные Google

Данные Google

Компании подчеркивают, что приложения не используют данные геолокации. Идентификатор пользователя анонимен, а новый код генерируется каждые 10 минут. Это призвано усложнить слежку за пользователем.

Криптография

Устройство пользователя хранит случайный и уникальный 256-битный отслеживающий ключ (tracing key). Этот ключ создается лишь один раз и привязывается к устройству. В документации не прописан протокол смены владельца устройства.

Каждые сутки генерируется 128-битовый новый ключ (daily tracing key). Он вычисляется по алгоритму HKDF и зависит от tracing key/номера дня.

Зная tracing key, можно вычислить daily tracing key за любой день. Алгоритм HKDFпозволяет использовать случайность для устранения этой связи, однако в протоколе указано, что все ключи явно детерминированы. Обратная операция невозможна. Для вычисления ключа используется хеш-функция SHA256.

Каждые 10 минут вычисляется новый 128-битный rolling proximity identifier по алгоритму HMAC. Он зависит от ключа и номера интервала с начала дня.

В случае заражения пользователь отправляет на сервер набор своих daily tracing keys за некоторый период. Сервер агрегирует ключи от разных отправителей и периодически рассылает уведомления подключенным к API пользователям. При этом сервер не хранит информацию о контактах здоровых пользователей и получает доступ к ключам заболевшего только за определенный период времени.

Включение решения потребует разрешения пользователя на уровне операционной системы и конкретного приложения.

В мае появятся официальные приложения от каких-то служб здравоохранения. Организации-разработчики пока не называются. Потом API станет доступен другим разработчикам.

Вероятно, решение будет встроено в корпоративные экосистемы: оба гиганта активно развивают свои health-платформы.

Китайский прецедент

Китай первым столкнулся с эпидемией, и местные технологические компании уже разработали некоторые решения для борьбы с вирусом.

Платежная система AliPay запустила в Ханчжоу и многих китайских городах систему цветовых кодов. Пользователь регистрируется через приложение и получает код: зеленый, желтый или красный. Предъявив зеленый код контроллеру, можно пройти в метро. Человек с желтым или красным кодом должен связаться с властями.

Официальные комментарии о принципах работы системы крайне скупы. В Ant Financial заявляют, что это стороннее приложение с интеграцией в их экосистему. Система продвигается за счет административного ресурса: контролеры в метро с криком и руганью прогоняют людей без телефонов.

Государственные органы используют приложение в пропаганде, но не дают комментарии касательно механики задействованных алгоритмов. Вероятно, приложение использует «социальный рейтинг» — механизм оценки граждан Китая. Есть все основания полагать, что аккуратность использования приложения влияет на этот рейтинг. То есть нарушение самоизоляции может привести к его понижению.

Неясность критериев в первую очередь связана с использованием ИИ. Система постоянно перестраивается, и точные причины получения желтого рейтинга не знает никто.

Около миллиона человек имели красный или желтый код — это меньше 2% от 50 млн человек, использующих приложение.

Решение планируется масштабировать на весь Китай. В соревнование включился и главный конкурент AliPay — мессенджер WeChat с более чем миллиардом пользователей.

Можно предположить, что контроль здоровья может стать одной из основных составляющих суперприложений, которые играют в Азии очень важную роль. Однако у большинства государств нет технологических решений подобного уровня, а массовая слежка, привычная для Китая, за его границами может вызвать общественное сопротивление и политическую нестабильность.

Есть ли похожие решения? Как они работают?

С момента начала эпидемии было разработано множество приложений и протоколов для борьбы с вирусом.

Правительство Сингапура уже опробовало приложение Tracetogether. Агентство технологий при правительстве опубликовало спецификации протокола Bluetrace в основе Tracetogether и эталонные реализации для iOS и Android. Протокол использует идентификаторы, которые создаются централизованным сервисом (есть реализация, использующая облачную базу данных Google Firebase).

Ориентированные на приватность решения разрабатывают и независимые группы при участии крупных университетов. Проект safepath, например, разрабатывается под эгидой MIT и использует GPS и систему geohash для отслеживания контактов.

Еще один протокол, TCN, также использует bluetooth-идентификаторы. Система имеет несколько уровней идентификаторов. Изначально пользователь хранит основной секрет (rvk), каждый новый временный ключ вычисляется из предыдущего значения и основного секрета. Публикуемые идентификаторы вычисляются как хэш от временного ключа и его номера.

В случае заражения пользователь публикует первый временный ключ и его номер. Это решение требует меньшего количества данных для передачи предупреждения, но после публикации пользователь должен сгенерировать новый секрет.

Этот протокол применяется в проектах Co-Epi и Covid watch. Последний использует решение в сочетании с GPS-трекингом при помощи safepath.

Университет Лозанны (EPFL) совместно с ETH Zurich и другими европейскими университетами уже представили собственный протокол DP-3T.

В исследовании ZCash Foundation сравнили два вышеупомянутых протокола. Главным отличием исследователи назвали лучшую проверку целостности в TCN. Это дает возможность проверить правдивость отчета, представленного заболевшим.

Использующий блокчейн IOT-проект Nodl, созданный разработчиками анонимного мессенджера FireChat совместно c доктором Филипом Милном (Philip Milne Phd), тем временем анонсировали протокол Whisper.

На текущий момент существует более 60 IT-проектов, направленных на борьбу с Covid-19. Большинство из них созданы в рамках различных хакатонов. Крупнейший из них — Wirsvirus, 20 марта проведенный в Германии и собравший более 20 000 участников.

Все разработчики сталкиваются с похожими проблемами, часть из которых решает инициатива Google и Apple. Но, к сожалению, не все.

С какими проблемами столкнулись разработчики?

Энергопотребление

Основная проблема — расход батареи при постоянной трансляции данных через bluetooth.
Apple и Google используют разные подходы к экономии энергии.

iOS ранних версий не поддерживает рассылку (broadcasting) данных сторонними приложениями.

Внедрение решений для трекинга на уровне операционной системы и реализация единого API могут существенно облегчить разработку и повысить энергоэффективность решений.

Поиск контактов

Большинство протоколов предполагает поиск совпадений на устройствах пользователей. Однако, если система получит действительно массовое признание, количество сигналов о болезни со всего мира может потребовать больших вычислительных мощностей.

В протоколе не используются данные геолокации. Клиенту придется проверять отчеты о заражении со всего мира.

В документах компании упоминают “агрегацию данных” на серверах. На текущий момент есть множество решений для быстрого поиска совпадений по большому списку, наиболее известным из которых является фильтр Блума.

Однако блум-фильтр может вызывать ложноположительные срабатывания, что требует дополнительной проверки, которая вероятно будет проводиться на стороне сервера.

Приватность

Все системы подчеркивают свою заботу о конфиденциальности пользователя, однако остается ряд вопросов.

Резервные копии

Apple и Google заявляют, что все данные будут храниться на устройствах пользователей. Но большинство клиентов делают бэкапы, доступ к которым может получить злоумышленник или государственные органы.

Пассивное наблюдение

Идентификаторы пользователей периодически обновляются, однако они известны всем, и реальные перемещения пользователя могут отслеживаться при помощи статистического анализа.

Верифицируемость

При получении отчета система вынуждена доверять данным пользователя. Злоумышленник может провести DoS-атаку, распространяя ложные сведения о заражении.

Так как результаты проверки могут быть основанием для помещения человека в карантин, такие атаки способны привести к чувствительным последствиям.

Скоринг

Протоколы не описывают принципы, по которым пользователь получает рекомендации о необходимости лечения и изоляции.

Если в Китае все решает централизованная система, то в предлагаемых системах решение принимает приложение на стороне пользователя. Мы до сих пор мало знаем о распространении Сovid-19, поэтому используемые эвристики могут оказаться неоптимальными.

Поиск хороших правил требует агрегации данных, что ставит новые вопросы о приватности решений.

Совместимость

В своем заявлении компании умалчивают о принципах, по которым приложения будут получать доступ к функционалу, и о том, как будут разделяться данные.

В описании bluetooth-части протокола упоминается Service UUID. В то же время неясно, как он будет использоваться.

У корпорации Apple уже были проблемы с немецкими регуляторами из-за ограничений доступа к NFC.

Выводы

Появление протокола от Apple и Google — большой шаг в борьбе с эпидемией. Однако по прежнему остаются вопросы о приватности пользователей и дальнейшей интерпретации полученных данных.

Вероятно, следующим шагом должно стать присоединение других крупных игроков к цифровизации пандемии. Это даст шанс сохранить приватность людей хотя бы на текущем уровне и использовать наработки, в первую очередь, в предиктивной аналитике для получения новых полезных результатов.

Источник — ForkLog