• Paolo Benanti

COVID-19 e l'API di Apple Google: alcuni timori

Come abbiamo già visto Apple e Google stanno lavorando a un sistema di tracciamento dei contatti Bluetooth che potrebbe aiutare a tracciare e possibilmente ridurre la diffusione di COVID-19. Più la cosa si diffonde, più gli esperti di sicurezza iniziano ad esprimere preoccupazioni sulla privacy e sull'esecuzione dell'API, che potrebbero comprometterne l'efficacia del sistema. Raccogliamo qui alcune di queste preoccupazioni.

Sia Apple che Google hanno chiarito di essere focalizzati sulla tecnologia di tracciamento dei contatti per combattere il coronavirus tenendo in gran conto la privacy e la sicurezza . Tuttavia, ci sono limitazioni intrinseche al protocollo Bluetooth che Apple e Google non possono mitigare, aggravate da ulteriori preoccupazioni per le eventuali terze parti che gestiscono i dati raccolti attraverso vari sistemi.



Per gli utenti relativamente indifferenti alla privacy dei dati o per coloro che sono disposti a sacrificare alcuni dei loro dati per aiutare a fermare una pandemia, non è un problema. D'altro canto, la fiducia nei protocolli di privacy e sicurezza della tracciabilità dei contatti mobili, in particolare quelli volontari, sarà assolutamente fondamentale per convincere le persone ad usare queste tecnologie. Anche se non sarà un toccasana, il sistema ha alcuni ostacoli importanti da superare e domande a cui rispondere prima che possa essere d'aiuto per gestire il COVID-19.


Il sistema proposto da Apple e Google è in realtà un'API che sblocca alcune funzionalità relative al Bluetooth per le app che la utilizzeranno, inclusa la possibilità di eseguire la tracciatura Bluetooth in background. Per quanto riguarda la privacy, Apple e Google hanno adottato misure per anonimizzare gli utenti ed evitare la raccolta di massa di posizione e altri dati, come la modifica dell'identificatore Bluetooth univoco ogni 10-15 minuti. Ma anche con queste cautele, il sistema non è necessariamente progettato per essere completamente anonimo. Ad esempio, questi identificatori di prossimità a rotazione sono solo privati ​​fino a quando qualcuno non risulta positivo al COVID-19. Successivamente, un identificatore di dispositivo diventa collegabile e il sistema invierà una copia delle sue chiavi crittografiche a tutti i dispositivi che si sono avvicinati oltre la soglia definita come di rischio.



Come esempio di come questo possa essere sfruttato da un attore malevole, l'ex tecnologo della Federal Trade Commission (FTC) Ashkan Soltani ha fornito un esempio di un cosiddetto "attacco di collegamento" che potrebbe rivelare l'identità di qualcuno che è COVID-19 positivo.


"In base alla progettazione, il tuo smartphone trasmetterà un identificatore univoco rotante (tramite Bluetooth) ogni pochi minuti (l'identificatore di prossimità mobile) a chiunque si trovi a portata di mano", ha detto Soltani. Ciò significa che non ci sono controlli granulari per gli utenti per evitarlo, oltre a non utilizzare il sistema. Qualcuno con uno sniffer Bluetooth e una videocamera potrebbe raccogliere coppie di foto e identificatori a rotazione in un luogo pubblico, spiega Soltani. Se una di queste persone risulta positiva a COVID-19, l'attaccante potrebbe associare i propri codici diagnostici alle immagini e agli identificativi a rotazione inviati dal telefono. Soltani aggiunge che un utente malintenzionato dotato di risorse adeguate, come una società di localizzazione al dettaglio, potrebbe espandere questa tattica su una scala più ampia, potendo potenzialmente tracciare i più ampi schemi di movimento di una persona. Il ricercatore aveva precedentemente scritto delle considerazioni sulla privacy relative al monitoraggio della vendita al dettaglio per la FTC. La capacità della tecnologia pubblicitaria (adtech) e delle società di localizzazione al dettaglio di identificare le persone con COVID-19 è stata ripresa dal crittografo e creatore della nota app Signal, Moxie Marlinspike. Poiché i dispositivi con un'app di tracciamento dei contatti installata riceveranno un registro degli identificativi giornalieri, il dispositivo di un utente potrebbe diventare collegabile/identificabile dopo aver ricevuto una diagnosi positiva. In sostanza, il sistema è privato solo fino a una diagnosi positiva.



"A quel punto l'adtech (almeno) probabilmente sa chi sei, dove sei stato e che sei (COVID positivo)", ha scritto Marlinspike. Il creatore di Signal dice che la privacy Bluetooth fa così un "passo indietro".


Un altro punto importante è che l'API di Apple e Google, così com'è, non è necessariamente l'implementazione finale. Invece, è un framework per l'utilizzo successivo da parte degli sviluppatori. In questo caso, quegli sviluppatori saranno organizzazioni di sanità pubblica. Per questo motivo, la privacy e la sicurezza del sistema si riducono davvero alla fiducia degli sviluppatori di app di tracciamento dei contatti mobili, secondo Sergio Caltagirone, vice presidente dell'intelligence sulle minacce presso la società di sicurezza informatica Dragos. Caltagirone ha dichiarato che la specifica crittografica fornita da Apple e Google "afferma semplicemente che l'implementazione non deve archiviare o correlare i dati ma non fornisce controlli aggiuntivi - è avere molta fiducia perché si tratta di dati sulla salute pubblica con un grande potenziale di uso improprio". Forte della sua esperienza nel campo della sicurezza, Caltagirone ha detto che un esercizio comune è quello di prendere qualsiasi specifica e cercare le parole "must" o "may" e poi chiedere "cosa succede se non lo si facesse?" Caltagirone la chiama privacy "basata sulla fede", piuttosto che privacy garantita crittograficamente. Ci sono già segnali che alcuni gruppi di sanità pubblica non amano le restrizioni di Apple e Google. Secondo quanto riferito, il National Health Service del Regno Unito è in "contrapposizione" con le due società perché desidera creare un database centralizzato di identificatori. Questo è qualcosa che Apple e Google stanno impedendo di fare alle organizzazioni sanitarie. Inoltre, Soltani ha aggiunto che le organizzazioni possono "progettare la (loro) app per raccogliere tutte le informazioni aggiuntive che ritengono opportune". In pratica, ciò significa che sebbene l'API di Apple e Google stia "preservando la privacy", le app di tracciamento dei contatti che le organizzazioni sanitarie sviluppano possono raccogliere dati in un modo che non lo è. "La tracciabilità dei contatti Bluetooth rappresenta un notevole miglioramento rispetto al rilevamento della posizione con GPS o informazioni sul sito cellulare, ma necessita ancora di solide misure di protezione della privacy e della sicurezza", ha dichiarato il consigliere generale della Electronic Frontier Foundation Kurt Opsahl in una nota ad AppleInsider. Facendo eco a Soltani, Opsahl ha affermato che il framework Apple e Google è solo "una parte dell'equazione" e che "abbiamo anche bisogno di salvaguardie della privacy con le app di prossimità di sanità pubblica che interagiscono con questa API".


Poiché queste garanzie devono essere implementate a livello di app e organizzazione sanitaria, non sono necessariamente qualcosa che Apple e Google possono garantire.


I rischi intrinseci del Bluetooth e le domande senza risposta sulla raccolta dei dati sanitari potrebbero minare qual è in definitiva la parte più importante della tracciabilità dei contratti mobili: l'adozione. Perché questo tipo di tracciamento dei contatti sia efficace, deve essere ampiamente adottato da una popolazione. Alcuni esperti, come il gruppo di ricerca sulla ricerca dei contatti Covid Watch, hanno una statistica del 60% perché la sua efficacia sia utile. Apple e Google hanno impedito a terzi di rendere obbligatoria l'app, il che significa che gli utenti dovranno scaricarla volontariamente. Questo accadrà solo se crederanno a come i giganti della tecnologia e le organizzazioni della salute nazionali hanno configurato le loro app, nonché le promesse sulla privacy e sulla sicurezza che hanno fatto.


Alcuni legislatori e regolatori stanno già sollevando dubbi sul fatto che possano ottenere la fiducia del pubblico negli Stati Uniti e in Europa. Con cifre e organizzazioni disparate che vanno dalla American Civil Liberties Union al presidente Donald Trump che mettono in dubbio il sistema, c'è una vera preoccupazione se un numero sufficiente di utenti si fiderà di esso per scaricarlo e installarlo sui propri dispositivi. Ben Adida, un ricercatore di crittografia e sicurezza delle informazioni, è molto più ottimista sul protocollo rispetto ad altri. In una discussione su Twitter, afferma che risolve molti problemi con altre attività di sorveglianza e proposte di tracciabilità e che una sorta di "incentivi opportunamente sintonizzati" può essere sufficiente per vedere il giusto tasso di adozione.

Naturalmente, ci sono anche alcune preoccupazioni reali sull'efficacia della tracciabilità dei contratti mobili nelle sue forme attuali. Jason Day, il capo del prodotto per l'app di tracciamento dei contatti TraceTogether di Singapore, ha affermato che non sostituirà la traccia dei contatti manuale. "Se mi si chiede se un sistema di tracciamento dei contatti Bluetooth installato o in fase di sviluppo, in qualsiasi parte del mondo, è pronto a sostituire la traccia dei contatti manuale, dirò senza incertezza che la risposta è, No", ha scritto in un post su Medium. Ci sono domande senza risposta sull'efficacia dei metodi di Singapore per il tracciamento dei contatti. È importante notare che TraceTogether è stato distribuito senza l'API di Apple e Google, il che significa che potrebbe funzionare solo quando l'app era in esecuzione in primo piano. Anche con quel problema risolto dal nuovo framework Bluetooth, ci sono altri problemi senza soluzioni facili. Anche la tracciabilità dei contatti mobili non coprirà coloro che non hanno uno smartphone, come bambini e anziani, ha aggiunto Soltani in un tweet. Poiché è basato sulla prossimità, potrebbe anche creare falsi contatti positivi in ​​spazi abitativi densi come gli appartamenti.


E in alcuni paesi, come gli Stati Uniti, è probabile che l'ostacolo principale oltre l'adozione sia la disponibilità di test sanitari. L'API di Apple e Google sembra dipendere dal fatto che una persona possa ricevere una diagnosi da un funzionario della sanità pubblica. Sebbene ciò riduca il rischio di pesca a traina, solleva una grande domanda se siano disponibili test sufficienti per farlo funzionare. Come sottolinea Deidre Connolly, ingegnere crittografico e membro della ZCash Foundation, gli Stati Uniti non sono attualmente pronti a far fronte al tipo di test sanitario che le API di Apple e Google richiederebbero per essere efficaci.



Ovviamente, nonostante queste preoccupazioni sulla privacy e sull'efficacia, il sistema Apple e Google potrebbe ancora far parte di una soluzione più ampia per fermare COVID-19, insieme a test e misure sufficienti come il distanziamento sociale. Se ciò si rivelerà il caso dipenderà dal fatto che Apple, Google e gruppi di salute pubblica siano in grado di convincere abbastanza persone a scaricarlo e utilizzarlo. In definitiva, quel lavoro potrebbe non essere di Apple e Google. Senza uno sforzo concentrato, trasparente e degno di fiducia da parte di tutti coloro che sono coinvolti, incluso il pubblico, la tracciabilità del contratto mobile finirà per essere un pio desiderio.

0 visualizzazioni