4月11日,域外网站theverge发表了专栏作者Russell Brandom的分析文章《Answering the 12 Biggest Questions about Apple And Google's New Coronavirus Tracking Project》。该文章根据公开的技术文档,分析了Apple和Google病毒追踪计划涉及的十二个隐私和安全问题。以下是雷锋网王刚摘译的中文版,供大家参考。
美国版“健康码”背后的12个关键问题
上周五,谷歌和苹果联手实施了一项雄心勃勃的紧急计划,制定了一项新的协议来追踪正在爆发的新型冠状病毒。
这是一个紧急、复杂的项目,对隐私和公共健康有着巨大的影响。类似的项目在新加坡和其他国家也取得了成功,但美国公共卫生机构是否能够管理这样一个项目仍有待观察——即使世界上最大的科技公司伸出了援手。
我们在这里介绍了项目的基本概要,但还有很多需要深入研究的地方——首先是两家公司发布的技术文档。它们揭示了苹果和谷歌在处理这些敏感数据方面的实际努力,以及该项目的不足之处。因此,我们深入调查了这些文件,并试图回答12个最紧迫的问题。
1、这是干什么的?
当有人患上像今年的新型冠状病毒这样的新疾病时,公共卫生工作者试图通过追踪和隔离感染者接触过的每一个人来控制传播。这称为接触追踪,是控制疫情的关键工具。
本质上,苹果和谷歌已经建立了一个自动联系追踪系统。它不同于传统的接触跟踪,并且在与传统方法结合时可能最有用。最重要的是,它可以在比传统的接触追踪更大的范围内运作,鉴于疫情在大多数国家的蔓延程度,这将是必要的。因为它来自苹果和谷歌,一些功能最终也将在操作系统级别内置到Android手机和iPhone中。这使得这一技术解决方案有可能应用于全球30多亿部手机——否则这是不可能的。
值得注意的是,苹果和谷歌正在合作的是一个框架,而不是一个应用程序。他们正在处理管道系统,并保证系统的隐私和安全,将实际应用程序的构建留给其他人使用。
2、它是如何工作的?
基本上,这个系统可以让你的手机记录附近的其他手机。只要这个系统还在运行,你的手机就会周期性地弹出一段小的、唯一的、匿名的代码,这段代码是从手机的唯一ID中提取出来的。其他手机会接收并记住这段代码,建立一个记录他们接收到的代码和接收到它们的时间的日志。
当使用该系统的人得到阳性诊断时,他们可以选择将自己的身份证代码提交给中央数据库。当手机使用该数据库进行检查时,它会运行本地扫描,以查看其日志中的任何代码是否与数据库中的ID匹配。如果有匹配的,你会在手机上收到一个警告,说你已经暴露。
这是一个简单的版本,但是你已经可以看到这种系统有多有用了。本质上,它允许你记录接触点(即接触跟踪器所需的确切信息),而无需收集任何精确的位置数据,只需在中央数据库中维护最少的信息。
3、你如何认为你被感染了?
关于这一点,公布的文件不太详细。规范中,只有合法的医疗保健提供者才能提交诊断,以确保只有确认的诊断才会生成警报。目前还不完全清楚这将如何发生,但这似乎是一个可以解决的问题,无论是通过应用程序进行管理,还是在感染集中登记之前进行某种额外的身份验证。
4、手机是如何发出这些信号的?
简单的答案是:蓝牙。
该系统使用的天线与你的无线耳机相同,尽管它是蓝牙低能耗(BLE)版本的规范,这意味着它不会非常明显地耗尽你的电池。这个特殊的系统使用了一个已经使用多年的BLE信标系统版本,经过修改后可以在手机之间进行双向代码交换。
通过蓝牙广播代码的工作流程,如系统的蓝牙规范所示
5、信号到达多远?
我们还不知道。
理论上,BLE可以在最远100米实现连接,但这在很大程度上取决于特定的硬件设置,而且很容易被墙挡住。很多最常见的应用,比如将AirPods手机壳与iPhone配对,其有效范围接近6英寸。该项目的工程师们乐观地认为,他们可以通过“阈值化”(基本上是丢弃较低强度的信号)在软件级别调整范围,但由于目前还没有实际的软件,大多数相关的决定尚未做出。
同时,我们不完全确定这种警报的最佳范围是什么。社交距离规则通常建议在公共场合与他人保持6英尺的距离,但随着我们进一步了解这种新型冠状病毒的传播方式,这种情况很容易改变。官员们也会小心发出如此多的警报,以至于应用程序变得毫无用处,这可能会使理想的范围更小。
6、所以这是个应用程序?
某种程度上是的。在该项目的第一部分(计划在5月中旬完成),该系统将内置到官方公共卫生应用程序中,在后台发出BLE信号。这些应用程序将由国家级的卫生机构而不是科技公司来构建,这意味着这些机构将负责许多重要的决策,比如如何通知用户,以及如果一个人被曝光了该推荐什么。
最终,该团队希望将该功能直接构建到iOS和Android操作系统中,类似于本地仪表板或设置菜单中的切换。但这需要几个月的时间,如果用户需要提交信息或收到警报,它仍然会提示用户下载官方公共卫生应用程序。
7、这真的安全吗?
大多数情况下,答案似乎是肯定的。根据上周五公布的文件,仅仅基于蓝牙代码就很难找到任何敏感信息,这意味着你可以在后台运行应用程序,而不必担心你正在编译任何可能导致犯罪的东西。系统本身不会识别你的身份,也不会记录你的位置。当然,如果你要将诊断结果上传给卫生官员,使用该系统的健康应用程序最终需要知道你是谁。
8、黑客们能用这个系统把所有患病的人列一个大名单吗?
这将非常困难,但并非不可能。中央数据库存储了感染者在感染时发出的所有代码,而且一个有图谋的参与者可能会得到这些代码是完全合理的。工程师们已经做了很好的工作,确保你不能从这些代码直接弄到一个人的身份,但是可以设想其中某些保护措施失效的情况。
9、谷歌、苹果或黑客能用它来找出我去过哪里吗?
只有在非常特殊的情况下。如果有人正在收集你的近距离识别码,而你检测呈阳性,并决定分享你的诊断结果,并且他们执行上述的整个rigamarole,他们可能会使用它将你链接到附近发现你的近距离识别码的特定位置。
但需要注意的是,苹果和谷歌都没有共享可能直接将你放在地图上的信息。谷歌有很多这样的信息,并且该公司已经在一个聚合的层次上共享了这些信息,但它不是这个系统的一部分。谷歌和苹果可能知道你已经在哪里了,但他们没有将这些信息连接到这个数据集。因此,虽然攻击者可能能够使用到该信息,但他们最终仍会知道的比你手机上的大多数应用程序要少。
10、有人能用这个找出我和谁联系过吗?
这将非常困难。如前所述,你的手机会记录所有接收到的近距离识别码,但规范明确规定,该记录永远不应离开你的手机。只要你的特定日志保留在你的特定设备上,它就受到保护文本和电子邮件的同一设备加密的保护。
11、如果我不希望手机执行此操作怎么办?
不要安装该应用程序,并且当夏季更新操作系统时,只需将“联系人跟踪”设置保持为关闭状态即可。苹果和谷歌坚持认为参与是自愿的,除非你采取积极措施来参与联系人跟踪,否则你应该完全不用参与就能使用手机。
12、这是变相的监视系统吗?
这是一个棘手的问题。
从某种意义上说,联系人跟踪是监视。公共卫生工作充满了医疗监督,这仅仅是因为这是找到病情还不足以求医的感染者的唯一途径。希望是鉴于大流行已经造成的灾难性破坏,人们将愿意接受这种级别的监视,以作为阻止病毒进一步传播的临时措施。
一个更好的问题是该系统是以公平还是有益的方式进行监视。该系统是自愿的,这很重要,而且它所共享的数据不会超出其需求,这非常重要。尽管如此,我们现在所拥有的只是协议,而政府是否会尝试以更具侵略性或霸道的方式来实施这一想法还有待观察。
随着该协议在特定应用程序中的实现,将对如何使用该协议以及从协议外部收集多少数据做出许多重要的决定。政府将做出这些决定,它们可能会做出糟糕的决定,或者更糟的是,他们可能根本不会做出决定。
因此,即使你对苹果和谷歌在这里的布局感到兴奋,他们也只能丢球,而政府在接手之后会采取很多措施。
来源:雷锋网,摘译者王刚,本文 via :the verge