Apple и Google работают над системой отслеживания контактов Bluetooth, которая может помочь отследить и, возможно, сократить распространение COVID-19. Но эксперты по безопасности AppleInsider высказались, чтобы выразить озабоченность по поводу конфиденциальности и исполнения, которые могут подорвать его эффективность.
Эксперты по безопасности и криптографы испытывают обеспокоенность по поводу конфиденциальности и безопасности отслеживания контактов COVID-19. Кредит: Брайан Макгоуэн
И Apple, и Google ясно дали понять, что они сосредоточены на технологии отслеживания коронавирусов с учетом конфиденциальности и безопасности. Но для Bluetooth существуют неотъемлемые ограничения, которые Apple и Google не могут смягчить, что усугубляется опасениями относительно третьих сторон, которые будут обрабатывать данные, собираемые через системы.
Для пользователей, относительно не заботящихся о конфиденциальности данных, или для тех, кто готов пожертвовать некоторыми из них, чтобы помочь остановить пандемию, это не проблема. С другой стороны, доверие к протоколам конфиденциальности и безопасности при отслеживании мобильных контактов, особенно добровольных, будет абсолютно необходимо для того, чтобы убедить людей использовать его. Несмотря на то, что это не будет панацеей, система должна преодолеть некоторые серьезные препятствия и ответить на вопросы, прежде чем она сможет помочь.
Вопросы конфиденциальности и безопасности
Слайд-колода, объясняющая, как работают системы Apple и Google.
Когда дело доходит до конфиденциальности, Apple и Google предприняли шаги для анонимизации пользователей и предотвращения массового сбора данных о местоположении и других данных, включая изменение уникального идентификатора Bluetooth каждые 10–15 минут. Но даже в этом случае система не обязательно должна быть полностью анонимной.
Например, эти скользящие идентификаторы близости являются частными, пока кто-то не даст положительный результат на COVID-19. После этого идентификатор устройства становится связываемым, и система отправляет копию своих криптографических ключей всем устройствам, которые находились в непосредственной близости с ним.
В качестве примера того, как это может использовать плохой актер, бывший технолог Федеральной торговой комиссии Ашкан Солтани отдал пример так называемой «атаки с помощью сцепления», которая может выявить личность человека, который имеет положительный результат по COVID-19.
«По своему дизайну ваш смартфон будет передавать вращающийся уникальный идентификатор (через Bluetooth) каждые несколько минут (скользящий идентификатор близости) всем, кто находится в пределах досягаемости», — сказал Солтани AppleInsider. Это означает, что у пользователей нет детального контроля, чтобы избежать этого, кроме неиспользования системы.
Солтани объясняет, что кто-то с анализатором Bluetooth и видеокамерой может собирать пары фотографий и идентификаторы в общественном месте. Если один из этих людей дал положительный результат на COVID-19, злоумышленник может связать свои диагностические ключи с изображениями и скользящими идентификаторами.
Солтани добавляет, что хорошо обеспеченный злоумышленник, такой как компания по отслеживанию местонахождения розничной торговли, может расширить эту тактику в более широком масштабе, потенциально позволяя им отслеживать более широкие модели движения человека. Исследователь ранее писал о соображениях конфиденциальности отслеживания розничной торговли для FTC.
Способность рекламодателей и компаний, занимающихся отслеживанием розничных продаж, идентифицировать людей с COVID-19 была поддержана криптографом и создателем приложения Signal Мокси Марлинспайком. Поскольку устройства с установленным приложением отслеживания контрактов будут получать журнал ежедневных идентификаторов, устройство пользователя может стать подключаемым после получения положительного диагноза.
«В этот момент Adtech (как минимум), вероятно, знает, кто вы, где вы были, и что вы (COVID положительный)», Marlinspike написал.
Другим важным моментом является то, что API Apple и Google в их нынешнем виде не обязательно являются конечной реализацией. Вместо этого, это среда, которую разработчики могут использовать для создания приложений, которые могут бесперебойно работать в фоновом режиме — что невозможно при нынешних ограничениях iOS. В этом случае этими разработчиками будут организации общественного здравоохранения.
По этой причине Сержио Кальтаджироне, вице-президент по разведке угроз в компании по кибербезопасности Dragos, полагает, что конфиденциальность и безопасность системы действительно сводятся к доверию разработчиков мобильных приложений для отслеживания контактов.
Кальтаджироне сказал AppleInsider, что криптографическая спецификация, предоставленная Apple и Google, «просто утверждает, что реализация не должна хранить или сопоставлять данные, но не предоставляет никаких дополнительных элементов управления — большое доверие, когда дело доходит до данных общественного здравоохранения и возможность неправильного использования».
В своем опыте в области безопасности он сказал, что обычное упражнение состоит в том, чтобы взять любую спецификацию и найти слова «должен» или «может», а затем спросить «что, если это не так?» Кальтаджироне называет это конфиденциальной конфиденциальной информацией, а не криптографически гарантированной конфиденциальностью.
Уже есть признаки того, что некоторые группы общественного здравоохранения не любят ограничения Apple и Google. Например, согласно сообщениям, Национальная служба здравоохранения Соединенного Королевства находится в «противостоянии» с этими двумя компаниями, поскольку она хочет создать централизованную базу данных идентификаторов. Это то, что Apple и Google запрещают организациям делать.
Кроме того, Солтани добавленной что организации могут «спроектировать (их) приложение для сбора любой дополнительной информации, по их мнению», с которой люди согласятся.
На практике это означает, что, хотя Apple и Google API «сохраняют конфиденциальность», реальные приложения отслеживания контактов, которые разрабатывают медицинские организации, могут собирать данные не так, как они.
«Отслеживание контактов Bluetooth — это значительное улучшение по сравнению с отслеживанием местоположения с помощью GPS или информации о сотовом узле, но оно по-прежнему нуждается в надежных гарантиях конфиденциальности и безопасности», — заявил генеральный советник фонда Electronic Frontier Курт Опсал в своем заявлении AppleInsider. Повторяя Soltani, Опсал сказал, что платформа Apple и Google — это всего лишь «одна часть уравнения» и что «нам также нужны гарантии конфиденциальности с приложениями общественного здравоохранения, которые взаимодействуют с этим API».
Поскольку эти меры безопасности должны быть реализованы на уровне приложений и организаций здравоохранения, они не обязательно могут быть гарантированы Apple и Google.
Эффективность отслеживания контактов Bluetooth
Иллюстрация отслеживания контактов Bluetooth. Кредит: MIT
Присущие Bluetooth риски и оставшиеся без ответа вопросы о сборе данных о состоянии здоровья могут подорвать то, что в конечном итоге является наиболее важной частью отслеживания мобильных контрактов: принятие.
Чтобы этот тип отслеживания контактов был эффективным, он должен широко использоваться населением. Некоторые эксперты, такие как исследовательская группа по отслеживанию контактов Covid Watch, публикуют статистику в 60%, чтобы оценить ее эффективность.
Apple и Google запретили третьим сторонам делать приложение обязательным, а это означает, что пользователи должны будут добровольно загрузить его. Могут ли они действительно понять, как технические гиганты и организации здравоохранения создают свои приложения, а также обещания конфиденциальности и безопасности, которые они дают.
Некоторые законодатели и регулирующие органы уже поднимают вопросы о том, могут ли они в США и Европе.
Поскольку разрозненные цифры и организации, от Американского союза гражданских свобод до президента Дональда Трампа, ставят под сомнение систему, существует реальная обеспокоенность тем, достаточно ли пользователей доверят ей, чтобы действительно загрузить и установить ее на свои устройства.
Бен Адида, исследователь криптографии и информационной безопасности, гораздо более оптимистично настроен в отношении протокола, чем другие. В ТвиттерОн говорит, что это решает много проблем с другими отслеживаниями и предложениями и что некоторых «правильно настроенных стимулов» может быть достаточно, чтобы увидеть правильный уровень усыновления.
Конечно, существуют также некоторые реальные опасения по поводу эффективности мобильного отслеживания контрактов в его нынешних формах. Джейсон Дей, ведущий разработчик сингапурского приложения для отслеживания контактов, сказал, что оно не станет заменой ручного отслеживания контактов.
«Если вы спросите меня, готова ли какая-либо система отслеживания контактов Bluetooth, развернутая или разрабатываемая, где-либо в мире, заменять отслеживание контактов вручную, я безоговорочно скажу, что ответ« Нет », — написал он в публикации Medium.
Есть вопросы без ответа об эффективности методов отслеживания контактов в Сингапуре. Важно отметить, что TraceTogether развернут без API Apple и Google, что означает, что он может работать только тогда, когда приложение работает на переднем плане.
Даже с учетом этой проблемы, решаемой новой платформой Bluetooth, существуют другие проблемы без простых решений. Отслеживание мобильных контактов также не распространяется на тех, у кого нет смартфонов, таких как дети и пожилые люди, Солтани добавленной в твиттере. Поскольку он основан на близости, он также может создавать ложные контактные позитивы в плотных жилых помещениях, таких как квартиры.
А в некоторых странах, таких как США, основным препятствием на пути к усыновлению, вероятно, будет доступность тестирования. Apple и Google API, кажется, зависят от того, может ли человек получить диагноз от чиновника общественного здравоохранения. Хотя это снижает риск троллинга, это поднимает большой вопрос о том, достаточно ли тестирования для его работы.
Как указывает криптограф и инженер ZCash Foundation Дейдре Коннолли, США в настоящее время просто не готовы к тому, чтобы проводить тестирование, которое Apple и Google API потребовали бы для эффективности.
В случае, если неясно, _все_ эти предложения по уведомлению о контактах являются инструментами, которые должны использоваться для содействия отслеживанию контактов, а для эффективного отслеживания контактов _ требуется тестирование потенциала_.
Они не могут быть развернуты в США сегодня, потому что наши текущие возможности тестирования низкие. https://t.co/4HomuAEOoA
— Дейрдре Коннолли (@durumcrustulum) 14 апреля 2020 г.
Конечно, несмотря на эти проблемы с конфиденциальностью и эффективностью, система Apple и Google все еще может быть частью более широкого решения, чтобы остановить COVID-19, наряду с достаточным тестированием и такими мерами, как социальное дистанцирование.
Будет ли это иметь место, будет зависеть от того, смогут ли Apple, Google и группы общественного здравоохранения убедить достаточно людей загрузить и использовать его. В конечном счете, эта работа может быть не Apple и Google.
Без концентрированных, прозрачных и заслуживающих доверия усилий со стороны всех вовлеченных сторон, в том числе общественности, отслеживание мобильных контрактов в конечном итоге приведет к желаемому мышлению.
