Contact Tracing: Apple e Google hanno presentato le API in Beta

Ieri, 29 Aprile 2020, Google ed Apple hanno finalmente rilasciato le tanto attese e chiacchierate API per il Contact Tracing nate per combattere la diffusione di Covid-19.

Le API ora sono disponibili al test

Apple ha rilasciato Xcode 11.5 ed iOS 13.5 mentre Google ha presentato una prima beta dell’SDK per sviluppatori e una versione aggiornata dei Play Services necessari a far funzionare le API.

La documentazione per quanto riguarda iOS è disponibile qui, per Android invece potete visitare questo pdf.

“Covid-19 Exposure Notifications” nasce dall’unione d’intenti dei due big del tech che tramite i propri uffici stampa (qui apple e qui google) hanno comunicato di aver iniziato la collaborazione proprio su questo strumento in primis per aiutare i governi locali a tenere traccia dei contagi e quindi a combattere più efficacemente la pandemia causata da Covid.19.

covid api ios1
IMG 6629
covid api ios2
IMG 6630

Come funzionano

Le API un’interfaccia utile agli sviluppatori per accedere a determinate funzionalità. Le Exposure Notifications appena rilasciate permetteranno ai governi locali di segnalare ai propri cittadini quando essi vengono in contatto con Covid-19 senza minare la loro privacy grazie ad un modello pienamente decentralizzato.

In sintesi:

  1. ogni dispositivo abilitato genererà delle stringhe di codice uniche ed irripetibili, crittografate ed anonime.
  2. Quando due dispositivi entrano in contatto tramite bluetooth vengono scambiati questi “token” che poi a cadenza periodiche vengono caricati nel sistema.
  3. Quando un cittadino risulta positivo ad un tampone covid, potrà aggiornare il proprio profilo clinico tramite le applicazioni governative che segnaleranno al sistema la positività al virus.
  4. I token associati all’individuo positivo verranno notificati al nostro dispositivo che cercherà nel proprio database una corrispondenza con i token con la quale è entrato in contatto. Se verranno trovate una o più stringhe di utenti soggetti a Covid-19 il dispositivo avviserà con una notifica l’utente che è stato esposto e lo informerà sui prossimi passi da percorrere per effettuare un controllo e per rimanere in auto-isolamento.
API Covid 1
API Covid 2

Questo sistema è rispettoso della privacy degli utenti e porta a grandi vantaggi perché:

  • funziona su tutti i dispositivi Android ed iOS e ne garantisce le caratteristiche anche tra i due sistemi (cosa non scontata)
  • tramite i token ad aggiornamenti cadenzato, anonimizzati e criptati è praticamente impossibile risalire all’identità degli individui che sono entranti in contatto
  • i token contengono solo un codice identificativo, la potenza del segnale bluetooth e la durata dell’esposizione. Non contengono dati anagrafici, di posizione o similari
  • il sistema è decentralizzato ed i governi non entrano in possesso di informazioni sensibili

Come verrà implementata immuni?

HowItWorks

Di recente (14-15 maggio) il Commissario Straordinario per l’emergenza Covid-19 ha reso disponibile su Github un insieme di immagini che fanno vedere esattamente come sarà l’app Immuni (ovvero il software per iOS e Android scelto dal governo per il Contact Tracing). L’applicativo, come chiarito in diversi contesti sfrutterà proprio le API di Google e Apple.

IMG 6627
IMG 6628

Come è possibile vedere dalla schermate di iOS 13.5 (versione golden master) Apple chiarisce il funzionamento di Immuni e di tutte le app simili disponibili nelle altre nazioni tramite le schermate relative alla funzionalità (accessibili andando su Impostazioni -> Privacy -> Salute -> Raccolta log di esposizione al Covid-19).

Con la tua autorizzazione, le notifiche di esposizione possono essere utilizzate da un’autorità sanitaria pubblica o governativa per inviarti una notifica nel caso tu abbia avuto contatti con qualcuno che ha segnalato di aver contratto il COVID-19. Se scegli di abilitare le notifiche di esposizione, l’app ti richiederà l’autorizzazione per salvare e condividere degli identificativi casuali. In questo modo, il tuo dispositivo potrà utilizzare il Bluetooth per trasmettere un identificativo casuale (gli “identificativi Bluetooth”), ossia una stringa di numeri casuali che cambia ogni 10–20 minuti. Gli identificativi vengono generati in modo codificato sul dispositivo a partire da una chiave generata casualmente (la “chiave casuale del dispositivo”) che cambia almeno ogni 24 ore per proteggere ulteriormente la tua privacy. Gli identificativi Bluetooth e le chiavi casuali dei dispositivi non includono informazioni sulla tua posizione o sulla tua identità.

Altri dispositivi iOS e Android con questa funzionalità abilitata riceveranno tali identificativi Bluetooth e trasmetteranno i propri. Il tuo dispositivo registrerà e archivierà in modo sicuro gli identificativi degli altri dispositivi che si trovano nel raggio di azione del Bluetooth per almeno 5 minuti, insieme alla data, la durata stimata dell’esposizione e la potenza del segnale Bluetooth (collettivamente i “metadati associati”). Per proteggere ulteriormente la tua privacy, la durata stimata viene registrata per un massimo di 30 minuti. La potenza del segnale Bluetooth aiuta a fornire una panoramica generale della prossimità dei dispositivi: in genere, quanto più vicino si trova il dispositivo, maggiore è la potenza del segnale registrata. Gli altri dispositivi che ricevono gli identificativi Bluetooth del tuo dispositivo li registreranno e li archivieranno con una procedura simile, insieme ai metadati associati. 

L’app può scaricare un elenco di chiavi casuali dei dispositivi degli individui risultati positivi o a rischio di esposizione al COVID-19, secondo quanto stabilito dalle autorità sanitarie pubbliche o governative, e che hanno scelto di condividere le chiavi casuali del proprio dispositivo. In seguito al download, l’app può richiedere al dispositivo di confrontare l’elenco con gli identificativi Bluetooth che ha raccolto e archiviato da altri dispositivi. Se è presente una corrispondenza, i metadati associati (ma non l’identificativo corrispondente) vengono resi disponibili all’app, che ti invia una notifica segnalando l’esposizione e fornendoti assistenza su come procedere.

Se ricevi una notifica di esposizione, l’app può generare un valore di rischio dell’esposizione che le autorità sanitarie pubbliche o governative possono utilizzare per personalizzare le istruzioni da fornirti e per gestire meglio la pandemia da COVID-19. Il valore di rischio dell’esposizione è definito e calcolato in base ai metadati associati e in base a un valore di rischio di contagio (spiegato in seguito) che le autorità sanitarie pubbliche e governative potrebbero definire per le chiavi casuali dei dispositivi per i quali è stata trovata una corrispondenza. Nè il valore di rischio dell’esposizione né il valore di rischio di contagio vengono condivisi con Apple.

Se ti viene diagnosticato il COVID-19 o sei potenzialmente a rischio di esposizione, l’autorità sanitaria pubblica o governativa della tua zona ti fornirà istruzioni su come segnalare questo problema all’interno dell’app. Se scegli di segnalarlo, l’app ti chiederà di condividere i tuoi identificativi casuali. Se accetti, verranno condivise le chiavi casuali del tuo dispositivo dei 14 giorni precedenti. Le autorità sanitarie pubbliche o governative potrebbero anche definire e inviare un valore di rischio di contagio con ciascuna chiave casuale del dispositivo. I parametri che le autorità sanitarie pubbliche o governative utilizzano per stabilire i valori di rischio di contagio possono includere le informazioni che hai fornito loro (come i sintomi segnalati o le diagnosi confermate dai tamponi) oppure altre informazioni che tali autorità sanitarie pubbliche o governative ritengono potenzialmente pertinenti per stabilire il rischio di contagio, come la tua professione. Le informazioni che decidi di fornire alle autorità sanitarie pubbliche o governative vengono raccolte secondo i termini e l’informativa sulla privacy dell’app e i relativi obblighi legali.

Puoi disabilitare i log di esposizione da Impostazioni > Privacy > Salute > Raccolta log di esposizione al COVID-19 oppure da Impostazioni > Privacy > Bluetooth > Raccolta log di esposizione al COVID-19 e toccando per disattivare la raccolta dei log di esposizione. Questa operazione non eliminerà gli identificativi Bluetooth registrati sugli altri dispositivi, i metadati associati o le chiavi casuali del dispositivo. Puoi eliminare gli identificativi Bluetooth, i metadati associati e le chiavi casuali del dispositivo andando in Impostazioni > Privacy > Salute > Raccolta log di esposizione al COVID-19 oppure in Impostazioni > Privacy > Bluetooth > Raccolta log di esposizione al COVID-19 e toccando l’opzione per eliminare i log di esposizione. Disattivare il Bluetooth sul dispositivo comporta anche la disattivazione della condivisione e dell’archiviazione degli identificativi Bluetooth casuali con altri dispositivi. Ciò significa che quando il Bluetooth è disattivato l’app non sarà in grado di inviarti una notifica in caso di contatto con un individuo affetto da COVID-19. La altre funzionalità delle notifiche di esposizione continueranno a rimanere attive quando il Bluetooth è disattivato. Riattivare il Bluetooth comporterà la riattivazione della condivisione e della raccolta degli identificativi Bluetooth casuali con altri dispositivi. 

Sebbene tu possa disporre di più di un’app che utilizza le notifiche di esposizione installata sul tuo dispositivo, è possibile attivarne solo una alla volta. Per selezionare o cambiare l’app attiva, vai in Impostazioni > Privacy > Salute > Raccolta log di esposizione al COVID-19 o in Impostazioni > Privacy > Bluetooth > Raccolta log di esposizione al COVID-19 e seleziona l’app che desideri attivare.

Qualche risposta ai molti dubbi

Apple nella documentazione ha anche rilasciato un elenco di domande frequenti con le relative risposte, le potete leggere qui. Noi vi forniamo di seguito quelle più significative.

Cos’è il Contact Tracing e come funziona?

La tracciabilità dei contatti (Contact Tracing) è una tecnica utilizzata dalle autorità di sanità pubblica per misurare e rallentare la diffusione di malattie infettive. Essa richiede la raccolta di informazioni da persone infette sulle persone con cui sono state in precedenza in contatto. Queste persone, possono quindi essere avvisate dalle autorità di sanità pubblica e informate sui passaggi da adottare in seguito come misure di sicurezza adeguate, come intraprendere l’auto-quarantena e come sottoporsi al test.

Come farà il sistema a garantire la privacy degli utenti?

Google e Apple pongono la privacy degli utenti in primo piano nel design di questa tecnologia di notifica dell’esposizione e hanno stabilito rigide linee guida per garantire la tutela della privacy:

• Ogni utente dovrà fare una scelta esplicita per attivare la tecnologia. Può anche essere disattivata in qualsiasi momento.
• Il sistema non raccoglie i dati sulla posizione del dispositivo e non condivide le identità di altri utenti tra loro, né con Google o Apple. L’utente controlla tutti i dati che desidera condividere e la decisione di condividerli.
• I beacon Bluetooth che preservano la privacy vengono rigenerati ogni 10-20 minuti per aiutare a prevenire il tracciamento abusivo.
• La notifica dell’esposizione viene eseguita solo sul dispositivo e sotto il controllo dell’utente. Inoltre, le persone che risultano positive non vengono identificate dal sistema ad altri utenti o ad Apple o Google.
• Il sistema viene utilizzato solo per la traccia dei contatti dalle app delle autorità sanitarie pubbliche.
• Google e Apple possono disabilitare il sistema di notifica dell’esposizione su base regionale quando non è più necessario.

Dove vengono collezionati i dati? Chi potrà accedervi?

Quando un utente decide di partecipare esplicitamente al Contract Tracing abiliterà il sistema di Contact Tracing a collezionare ed elaborare i dati sull’esposizione sul dispositivo stesso dell’utente.

A parte i beacon di protezione della privacy che vengono trasmessi, nessun dato verrà condiviso dal sistema con le app dell’autorità sanitaria pubblica a meno che non si verifichi uno dei seguenti due scenari:

• Se un utente sceglie di segnalare una diagnosi positiva di COVID-19 alla sua app di tracciamento dei contatti, i beacon più recenti per la tutela della privacy dell’utente verranno aggiunti all’elenco di diagnosi positive condiviso dall’autorità di sanità pubblica in modo che altri utenti che sono venuti in contatto con quei beacon puoi essere avvisato.

• Se un utente viene avvisato tramite l’app di essere entrato in contatto con un individuo positivo per COVID-19, il sistema condividerà il giorno in cui si è verificato il contatto, quanto è durato e la potenza del segnale Bluetooth di quel contatto. Qualsiasi altra informazione sul contatto non sarà condivisa.

In conformità con le linee guida sulla privacy dell’API, Apple e Google non riceveranno informazioni identificative sull’utente, dati sulla posizione o informazioni su altri dispositivi a cui l’utente è stato vicino.

Chi creerà le app per il Contact Tracing?

Le autorità di sanità pubblica locali sono in grado di utilizzare le API di Apple e Google per creare le loro applicazioni. Google ed Apple renderanno disponibili, come di consueto, le applicazioni delle autorità per ogni regioni sul Play Store e sull’App Store

I Governi riceveranno informazioni tramite questa tecnologia?

Lo Scopo del progetto “Covid-19 Exposure Notifications” è quello di assistere le autorità sanitarie locali a combattere Covid-19 abilitando le notifiche da esposizione con metodi rispettosi della privacy. Il sistema è progettato in modo tale da proteggere le identità delle persone con cui un dispositivo è entrato in contatto.

L’accesso alla tecnologia sarà concesso solo alle autorità sanitarie pubbliche.

Le loro app devono soddisfare criteri specifici in materia di privacy, sicurezza e controllo dei dati. L’app dell’autorità sanitaria pubblica sarà in grado di accedere a un elenco di beacon forniti dagli utenti confermati positivi per COVID-19 che hanno scelto di condividerli. Il sistema è stato inoltre progettato in modo tale che Apple e Google non abbiano accesso alle informazioni relative a soggetti specifici.

Leggi anche:
come la tecnologia può aiutarci a combattere Covid-19
gli articolo #iorestoacasa di PcGenius
le nostro conclusioni su questo periodo di quarantena


L’applicazione scelta dal Governo Italiano per il Contact Tracing si chiamerà Immuni, si baserà sul sistema API di Apple e Google; il codice sarà Open Source e dovrebbe apparire negli store a partire dal mese di Maggio 2020. Non appena ci saranno conferme o smentite PcGenius publicherà uno specifico articolo ed aggiornerà questa sezione.

Tutte le informazioni contenute in questo articolo sono verificate, esse si basano su documenti e su tecnologie sperimentali ed in fase di sviluppo. Non c’è alcuna garanzia sulle informazioni presenti che vengono fornite così come sono.

Fonti: The VergeEFF – Informazioni per sviluppatori di Apple e Google

Segnala

Scritto da Massimiliano Formentin

Sono sempre stato un appassionato di tecnologia, il mio scopo con PcGenius è condividere questa mia curiosità con il mondo intero. Nella vita faccio anche altro: suono il pianoforte e mi occupo di web.