Apple dan Google memperbarui teknologi penelusuran coronavirus bersama untuk meningkatkan privasi pengguna dan fleksibilitas pengembang

Apple dan Google memperbarui teknologi penelusuran coronavirus bersama untuk meningkatkan privasi pengguna dan fleksibilitas pengembang

 

Apple dan Google memperbarui teknologi penelusuran coronavirus bersama untuk meningkatkan privasi pengguna dan fleksibilitas pengembang
Apple dan Google memperbarui teknologi penelusuran coronavirus bersama untuk meningkatkan privasi pengguna dan fleksibilitas pengembang

apel dan Googletelah memberikan sejumlah pembaruan tentang perincian teknis sistem penelusuran kontak bersama mereka, yang sekarang secara eksklusif disebut sebagai teknologi “pemberitahuan paparan”, karena perusahaan mengatakan ini adalah cara yang lebih baik untuk menggambarkan apa yang mereka tawarkan. Sistem ini hanyalah satu bagian dari sistem pelacakan kontak, mereka mencatat, bukan semuanya. Perubahan termasuk modifikasi yang dilakukan pada API yang menurut perusahaan memberikan perlindungan privasi yang lebih kuat untuk pengguna individu, dan perubahan cara kerja API yang mereka klaim akan memungkinkan otoritas kesehatan membangun aplikasi yang memanfaatkannya untuk mengembangkan perangkat lunak yang lebih efektif.

Langkah-langkah tambahan yang diterapkan untuk melindungi privasi termasuk mengubah mekanisme kriptografi untuk menghasilkan kunci yang digunakan untuk melacak kontak potensial. Mereka tidak lagi secara spesifik terikat pada periode 24 jam, dan mereka sekarang dibuat secara acak alih-alih berasal dari apa yang disebut “kunci penelusuran” yang secara permanen dilampirkan ke perangkat. Secara teori, dengan sistem lama, serangan yang cukup maju dengan akses langsung ke perangkat berpotensi dapat digunakan untuk mencari tahu bagaimana masing-masing kunci berputar dihasilkan dari kunci penelusuran, meskipun itu akan sangat, sangat sulit. Apple dan Google mengklarifikasi bahwa itu dimasukkan demi efisiensi pada awalnya, tetapi mereka kemudian menyadari bahwa mereka sebenarnya tidak membutuhkan ini untuk memastikan sistem bekerja sebagaimana dimaksud, sehingga mereka menghilangkannya sama sekali.

Metode baru membuatnya semakin sulit bagi calon aktor yang buruk untuk menentukan bagaimana kunci tersebut diturunkan, dan kemudian mencoba untuk menggunakan informasi itu untuk menggunakannya untuk melacak individu tertentu. Tujuan Apple dan Google adalah untuk memastikan sistem ini tidak menautkan informasi pelacakan kontak dengan identitas individu mana pun (kecuali untuk penggunaan individu itu sendiri) dan ini akan membantu memastikan lebih lanjut bahwa itulah masalahnya.

Perusahaan-perusahaan sekarang juga akan mengenkripsi metadata yang terkait dengan sinyal Bluetooth tertentu, termasuk kekuatan sinyal dan info lainnya. Metadata ini secara teoritis dapat digunakan dalam upaya identifikasi balik yang canggih, dengan membandingkan metadata yang terkait dengan sinyal Bluetooth tertentu dengan profil yang dikenal dari jenis sinyal radio Bluetooth yang diuraikan oleh perangkat dan pembuatan perangkat. Diambil sendiri, itu tidak banyak risiko dalam hal paparan, tetapi langkah tambahan ini berarti lebih sulit untuk menggunakannya sebagai salah satu dari sejumlah vektor untuk identifikasi potensial untuk penggunaan berbahaya.

Perlu dicatat bahwa Google dan Apple mengatakan ini dimaksudkan sebagai layanan dengan panjang tetap, dan karena itu memiliki cara bawaan untuk menonaktifkan fitur pada suatu waktu yang akan ditentukan oleh otoritas regional, berdasarkan kasus per kasus.

Akhirnya di bagian privasi, aplikasi apa pun yang dibuat menggunakan API sekarang akan diberikan waktu paparan dalam interval lima menit, dengan total waktu paparan maksimum yang dilaporkan 30 menit. Membulatkan ini ke blok durasi lima menit spesifik dan membatasi batas keseluruhan di seluruh papan membantu memastikan info ini, juga, lebih sulit untuk ditautkan dengan individu tertentu ketika dipasangkan dengan metadata lain.

Di sisi pengembang dan otoritas kesehatan, Apple dan Google sekarang akan memberikan informasi kekuatan sinyal dalam bentuk data output daya radio Bluetooth, yang akan memberikan ukuran jarak yang lebih akurat antara dua perangkat dalam hal kontak, terutama ketika digunakan dengan info kekuatan sinyal yang diterima yang ada dari perangkat terkait yang sudah disediakan akses API.

Pengembang individual juga dapat menetapkan parameter mereka sendiri dalam hal seberapa kuat sinyal dan berapa lama akan memicu peristiwa paparan. Ini lebih baik untuk otoritas kesehatan masyarakat karena memungkinkan mereka untuk lebih spesifik tentang tingkat kontak apa yang sebenarnya menentukan kontak potensial, karena bervariasi tergantung pada geografi dalam hal panduan resmi dari lembaga kesehatan. Demikian pula, pengembang sekarang dapat menentukan berapa hari telah berlalu sejak peristiwa kontak individual, yang mungkin mengubah panduan mereka kepada pengguna (yaitu jika sudah 14 hari, langkah-langkah akan sangat berbeda dari jika sudah dua).

Apple dan Google juga mengubah algoritma enkripsi yang digunakan untuk AES, dari sistem HMAC yang sebelumnya mereka gunakan. Alasan untuk peralihan ini adalah bahwa perusahaan telah menemukan bahwa dengan menggunakan enkripsi AES, yang dapat dipercepat secara lokal menggunakan perangkat keras terpasang di banyak perangkat seluler, API akan lebih hemat energi dan mengurangi dampak kinerja pada smartphone.

Seperti yang kami laporkan Kamis , Apple dan Google juga mengonfirmasi bahwa mereka akan mendistribusikan minggu depan versi unggulan beta dari pembaruan OS yang akan mendukung perangkat ini. Di pihak Apple, pembaruan akan mendukung setiap perangkat keras iOS yang dirilis selama empat tahun terakhir menjalankan iOS 13. Di sisi Android, itu akan mencakup sekitar 2 miliar perangkat secara global, Android kata.

Penelusuran coronavirus: Platform versus pemerintah
Salah satu pertanyaan utama yang menonjol adalah apa yang akan terjadi dalam kasus pemerintah yang memilih untuk menggunakan protokol terpusat untuk aplikasi pelacakan kontak COVID-19, dengan data kedekatan diunggah ke server pusat – daripada memilih pendekatan desentralisasi, yang didukung Apple dan Google dengan API.

Di Eropa, dua ekonomi Uni Eropa utama, Prancis dan Jerman , keduanya mengembangkan aplikasi pelacakan kontak berdasarkan protokol terpusat – yang terakhir merencanakan hubungan mendalam ke laboratorium untuk mendukung pemberitahuan digital hasil tes COVID-19. Inggris juga membangun aplikasi pelacakan yang dilaporkan akan memusatkan data dengan otoritas kesehatan setempat.

Minggu ini Bloomberg melaporkan bahwa pemerintah Prancis menekan Apple untuk menghapus pembatasan teknis pada akses Bluetooth di iOS, dengan menteri digital, Cedric O, mengatakan dalam sebuah wawancara Senin: “Kami meminta Apple untuk mengangkat rintangan teknis untuk memungkinkan kami mengembangkan solusi kesehatan Eropa yang berdaulat yang akan mengikat sistem kesehatan kita. ”

Sementara dorongan standardisasi yang dipimpin Jerman seputar aplikasi pelacakan kontak COVID-19, yang disebut PEPP-PT – yang sejauh ini hanya memberikan dukungan publik kepada protokol terpusat, meskipun mengklaim akan mendukung kedua pendekatan – mengatakan pekan lalu bahwa mereka ingin melihat perubahan pada dibuat ke Google-Apple API untuk mengakomodasi protokol terpusat.

Ditanya tentang masalah ini, seorang juru bicara Apple mengatakan kepada kami tidak mengomentari aplikasi / rencana negara tertentu. Namun juru bicara itu menunjuk kembali ke posisi pada Bluetooth yang ditetapkan dalam pernyataan sebelumnya dengan Google – di mana perusahaan menulis bahwa privasi dan keamanan pengguna adalah “pusat” untuk desain mereka.

Dilihat oleh pembaruan spesifikasi teknis dan kerangka kerja Apple dan Google, seperti yang dirinci di atas, jawaban apakah raksasa teknologi akan tunduk pada tekanan pemerintah untuk mendukung sentralisasi negara dari data grafik sosial kedekatan tampaknya menjadi “tidak” yang kuat.

Tampilan tweak terbaru dimaksudkan untuk memperkuat privasi individu dan semakin menyusutkan kemampuan entitas luar untuk menggunakan kembali sistem untuk melacak orang dan / atau memanen peta semua kontak mereka.

Menajamkan nomenklatur Apple dan Google juga menarik dalam hal ini – dengan pasangan yang sekarang berbicara tentang “pemberitahuan paparan” daripada “pelacakan kontak” sebagai istilah yang disukai untuk intervensi digital. Pergeseran penekanan ini menunjukkan mereka tertarik untuk menghindari risiko peran mereka (salah) ditafsirkan sebagai mendukung pengawasan negara yang lebih luas terhadap grafik sosial warga negara, dengan kedok tanggapan koronavirus.

Pendukung protokol desentralisasi untuk pelacakan kontak COVID-19 – seperti DP-3T , pengaruh kunci untuk upaya

bersama Apple-Google yang sedang dikembangkan oleh koalisi akademisi Eropa – telah memperingatkan secara konsisten risiko creep pengawasan jika data kedekatan dikumpulkan pada server pusat.

Perubahan terminologi Apple dan Google tidak menjadi pertanda baik bagi pemerintah dengan ambisi untuk membangun apa yang mereka kontra-branding sebagai perbaikan “berdaulat” – alias pengambilan data yang melibatkan pemusatan data keterpaparan. Meskipun apakah ini berarti kita sedang menuju pertikaian besar antara pemerintah tertentu dan Apple atas pembatasan keamanan iOS – à la Apple vs FBI – masih harus dilihat.

Sebelumnya hari ini, Apple dan kepala privasi Google UE juga mengambil bagian dalam diskusi panel yang diselenggarakan oleh sekelompok anggota parlemen Eropa, yang secara khusus mempertimbangkan pertanyaan tentang model terpusat versus desentralisasi untuk pelacakan kontak.

Ditanya tentang mendukung model terpusat untuk pelacakan kontak, para raksasa teknologi menawarkan penghindaran, dan bukannya “tidak”.

“Tujuan kami adalah untuk benar-benar menyediakan API untuk mempercepat aplikasi. Kami tidak mewajibkan siapa pun untuk menggunakannya sebagai solusi. Ini adalah komponen untuk membantu mempermudah pembuatan aplikasi, ”kata Dave Burke dari Google , VP rekayasa Android.

“Ketika kita membangun sesuatu, kita harus memilih arsitektur yang berfungsi,” lanjutnya. “Dan itu harus bekerja secara global, untuk semua negara di dunia. Dan ketika kami melakukan analisis dan melihat pendekatan yang berbeda, kami sangat terinspirasi oleh kelompok DP-3T dan pendekatan mereka – dan itulah yang kami adopsi sebagai solusi. Kami pikir itu memberikan aspek pelestarian privasi terbaik dari layanan penelusuran kontak. Kami pikir itu juga cukup kaya dengan data epidemiologis yang kami pikir dapat diturunkan darinya. Dan kami juga berpikir itu sangat fleksibel dalam apa yang bisa dilakukannya. [Pilihan pendekatan adalah] benar-benar terserah pada setiap negara anggota – itu bukan bagian yang kita lakukan. Kami hanya penyedia sistem operasi dan kami berusaha memberikan lapisan tipis API yang kami pikir dapat membantu mempercepat aplikasi ini tetapi menjaga ponsel dalam mode operasi yang aman dan pribadi.

“Itu sangat penting untuk harapan pengguna,” tambah Burke. “Mereka berharap perangkat menyimpan data pribadi

dan aman. Dan kemudian mereka berharap perangkat mereka juga berfungsi dengan baik. ”

DP-3T, Michael Veale, juga berada di panel – menemukan apa yang dia gambarkan sebagai beberapa “mitos” tentang pelacakan kontak yang terdesentralisasi dibandingkan pendekatan terpusat.

“Sistem [desentralisasi] dirancang untuk menyediakan data kepada ahli epidemiologi untuk membantu mereka memperbaiki dan meningkatkan skor risiko – bahkan setiap hari,” katanya. “Ini sangat mungkin. Kita dapat melakukan ini menggunakan metode canggih. Orang-orang bahkan dapat memilih untuk memberikan data tambahan jika mereka ingin ahli epidemiologi – yang tidak benar-benar diperlukan untuk meningkatkan skor risiko tetapi dapat membantu. ”

“Beberapa orang berpikir model desentralisasi berarti Anda tidak dapat memiliki otoritas kesehatan melakukan panggilan pertama [kepada seseorang yang terpapar risiko infeksi]. Itu tidak benar. Apa yang tidak kita lakukan adalah kita tidak menandai nomor telepon dan identitas seperti model terpusat yang dapat ke jejaring sosial. Karena itu memungkinkan penyalahgunaan, ”tambahnya. “Yang kami izinkan adalah pada akhirnya otoritas kesehatan menerima daftar yang terpisah dari jaringan yang nomor teleponnya dapat mereka hubungi.”

MEP Sophie di ‘t Veld, yang mengorganisir acara online, mencatat di bagian atas diskusi mereka juga mengundang

PEPP-PT untuk bergabung dengan panggilan tersebut tetapi mengatakan tidak ada seorang pun dari koalisi yang dapat menghadiri konferensi video.

Baca Juga: