Na sexta-feira, Google e Apple se uniram para um ambicioso projeto de emergência, estabelecendo um novo protocolo para rastrear o atual surto de coronavírus. É um projeto urgente e complexo, com enormes implicações para a privacidade e a saúde pública. Projetos semelhantes foram bem-sucedidos em Cingapura e em outros países, mas resta saber se as agências de saúde pública dos EUA seriam capazes de gerenciar esse projeto – mesmo com as maiores empresas de tecnologia do mundo.

Abordamos aqui as linhas básicas do projeto, mas há muito mais a se aprofundar – começando pelos documentos técnicos publicados pelas duas empresas. Eles revelam muito sobre o que a Apple e o Google estão realmente tentando fazer com esses dados confidenciais e onde o projeto fica aquém. Então, mergulhámos nesses arquivos e tentamos responder às doze perguntas mais prementes, começando do começo absoluto:

O que isso faz?

Quando alguém fica doente com uma nova doença como o coronavírus deste ano, os profissionais de saúde pública tentam conter a disseminação rastreando e colocando em quarentena todos os que estiveram em contato com a pessoa infectada. Isso é chamado rastreamento de contato e é uma ferramenta crucial para conter surtos.

Essencialmente, a Apple e o Google criaram um sistema automatizado de rastreamento de contatos. É diferente do rastreamento de contato convencional e provavelmente mais útil quando combinado com métodos convencionais. Mais importante ainda, ele pode operar em uma escala muito maior do que o rastreamento de contato convencional, o que será necessário, considerando a extensão do surto na maioria dos países. Por ser proveniente da Apple e do Google, algumas dessas funcionalidades também serão incorporadas ao Android e iPhones no nível do sistema operacional. Isso torna essa solução técnica potencialmente disponível para mais de três bilhões de telefones em todo o mundo – algo que seria impossível de outra forma.

É importante observar que o que Apple e Google estão trabalhando juntos é uma estrutura e não um aplicativo. Eles estão lidando com o encanamento e garantindo a privacidade e a segurança do sistema, mas deixando a construção dos aplicativos reais que o usam para outras pessoas.

Como funciona?

Em termos básicos, esse sistema permite que o telefone registre outros telefones que estiveram próximos. Enquanto esse sistema estiver em execução, seu telefone emitirá periodicamente um pequeno código, único e anônimo, derivado do ID único desse telefone. Outros telefones no intervalo recebem esse código e lembram-se dele, criando um registro dos códigos que receberam e quando os receberam.

Quando uma pessoa que usa o sistema recebe um diagnóstico positivo, pode optar por enviar seu código de identificação para um banco de dados central. Quando o telefone retorna ao banco de dados, ele executa uma verificação local para verificar se algum dos códigos em seu registro corresponde aos IDs no banco de dados. Se houver uma correspondência, você receberá um alerta no telefone dizendo que foi exposto.

Essa é a versão simples, mas você já pode ver como esse tipo de sistema pode ser útil. Em essência, permite gravar pontos de contato (ou seja, exatamente o que os rastreadores de contato precisam) sem coletar dados de localização precisos e manter apenas informações mínimas no banco de dados central.

Como você envia que foi infectado?

Os documentos liberados são menos detalhados neste ponto. Pressupõe-se na especificação que apenas prestadores de serviços de saúde legítimos poderão enviar um diagnóstico, para garantir que apenas diagnósticos confirmados gerem alertas. (Não queremos trolls e hipocondríacos inundando o sistema.) Não está totalmente claro como isso vai acontecer, mas parece um problema solucionável, seja gerenciado pelo aplicativo ou algum tipo de autenticação adicional antes que uma infecção seja registrada centralmente.

Como o telefone envia esses sinais?

A resposta curta é: Bluetooth. O sistema está funcionando com as mesmas antenas que seus fones de ouvido sem fio, embora seja a versão Bluetooth Low Energy (BLE) da especificação, o que significa que não consumirá sua bateria de maneira tão perceptível. Este sistema específico usa uma versão do sistema BLE Beacon que está em uso há anos, modificada para funcionar como uma troca de código bidirecional entre telefones.

Até onde chega o sinal?

Ainda não sabemos. Em teoria, o BLE pode registrar conexões a até 100 metros, mas depende muito de configurações específicas de hardware e é facilmente bloqueado por paredes. Muitos dos usos mais comuns do BLE – como emparelhar um estojo AirPods com o iPhone – têm um alcance efetivo mais próximo de 15 cm. Os engenheiros do projeto estão otimistas de que eles podem ajustar o alcance no nível do software através de “limiares” – essencialmente, descartando sinais de menor intensidade – mas, como ainda não há software real, a maioria das decisões relevantes ainda não foi tomada.

Ao mesmo tempo, não temos certeza de qual é o melhor alcance para esse tipo de alerta. As regras de distanciamento social geralmente recomendam ficar a um metro e meio de distância de outras pessoas em público, mas isso pode mudar facilmente à medida que aprendemos mais sobre como o novo coronavírus se espalha. Os funcionários também serão cautelosos ao enviar tantos alertas que o aplicativo se torne inútil, o que pode tornar o alcance ideal ainda menor.

Então é um aplicativo?

Tipo de. Na primeira parte do projeto (que deve ser concluída em meados de maio), o sistema será incorporado aos aplicativos oficiais de saúde pública, que enviarão os sinais BLE em segundo plano. Esses aplicativos serão criados por agências de saúde estaduais e não por empresas de tecnologia, o que significa que as agências serão responsáveis ​​por muitas decisões importantes sobre como notificar os usuários e o que recomendar se uma pessoa for exposta.

Eventualmente, a equipe espera criar essa funcionalidade diretamente nos sistemas operacionais iOS e Android, semelhante a um painel nativo ou alternar no menu Configurações. Mas isso levará meses e ainda solicitará aos usuários que baixem um aplicativo oficial de saúde pública se precisarem enviar informações ou receber um alerta.

Isso é realmente seguro?

Principalmente, parece que a resposta é sim. Com base nos documentos publicados na sexta-feira, será muito difícil recuperar informações confidenciais baseadas apenas nos códigos Bluetooth, o que significa que você pode executar o aplicativo em segundo plano sem se preocupar em compilar qualquer coisa potencialmente incriminadora. O sistema em si não identifica você pessoalmente e não registra sua localização. Obviamente, os aplicativos de saúde que usam esse sistema precisarão saber quem você é para enviar seu diagnóstico às autoridades de saúde.

Os hackers poderiam usar esse sistema para fazer uma grande lista de todos que tiveram a doença?

Isso seria muito difícil, mas não impossível. O banco de dados central armazena todos os códigos enviados pelas pessoas infectadas enquanto elas eram contagiosas (é contra isso que o seu telefone está checando), e é totalmente plausível que um mau ator possa obter esses códigos. Os engenheiros fizeram um bom trabalho, garantindo que você não possa trabalhar diretamente desses códigos para a identidade de uma pessoa, mas é possível imaginar alguns cenários nos quais essas proteções quebram.

Screen Shot 2020 04 10 at 6.33.10 PM

Um diagrama do white paper de criptografia, explicando os três níveis de chave

Para explicar o porquê, precisamos ser um pouco mais técnicos. A especificação de criptografia estabelece três níveis de chaves para esse sistema: uma chave mestra privada que nunca sai do dispositivo, uma chave de rastreamento diária gerada a partir da chave privada e a sequência de “IDs de proximidade” gerados pela chave diária. Cada uma dessas etapas é executada por meio de uma função unidirecional robusta e criptograficamente – para que você possa gerar uma chave de proximidade a partir de uma chave diária, mas não o contrário. Mais importante, você pode ver quais chaves de proximidade vieram de uma chave diária específica, mas se você começar com a chave diária na mão.

O registro no seu telefone é uma lista de códigos de proximidade (o nível mais baixo da chave), para que eles não sejam muito bons por conta própria. Se você é positivo, compartilha ainda mais, publicando as chaves diárias de todos os dias em que era contagioso. Como essas chaves diárias agora são públicas, seu dispositivo pode fazer as contas e informar se algum dos IDs de proximidade em seu log veio dessa chave diária; se o fizeram, gera um alerta.

Como o criptógrafo Matt Tait aponta, isso leva a uma redução significativa da privacidade das pessoas que apresentam resultados positivos nesse sistema. Depois que essas chaves diárias forem públicas, você poderá descobrir quais IDs de proximidade estão associados a um determinado ID. Lembre-se, é isso que o aplicativo é suposto para confirmar a exposição.) Embora aplicativos específicos possam limitar as informações que eles compartilham e tenha certeza de que todos farão o melhor, você está agora fora das proteções rígidas de criptografia. É possível imaginar um aplicativo mal-intencionado ou uma rede de detecção de Bluetooth que coleta os IDs de proximidade com antecedência, conectando-os a identidades específicas e depois correlacionando-os com as chaves diárias retiradas da lista central. Seria difícil fazer isso e seria ainda mais difícil para todas as pessoas da lista. Mesmo assim, tudo o que você obteria do servidor são os últimos 14 dias em códigos. (Isso é tudo o que é relevante para o rastreamento de contatos, portanto, são todos os armazenamentos centrais de banco de dados.) Mas não seria totalmente impossível, o que geralmente você procura em criptografia.

Para resumir: é difícil garantir absolutamente o anonimato de alguém, se eles compartilharem que testaram positivo através deste sistema. Mas, na defesa do sistema, é uma garantia difícil de ser feita sob quaisquer circunstâncias. Sob o distanciamento social, todos limitamos nossos contatos pessoais. Portanto, se você descobrir que foi exposto em um dia específico, a lista de possíveis vetores já será bastante curta. Adicione a quarentena e, às vezes, a hospitalização que vem com o diagnóstico COVID-19, e é muito difícil manter a privacidade médica completamente intacta enquanto ainda avisa as pessoas que podem ter sido expostas. De certa forma, essa troca é inerente ao rastreamento de contatos. Os sistemas de tecnologia podem apenas mitigá-lo.

Além disso, o melhor método de rastreamento de contato que temos agora envolve seres humanos entrevistando você e perguntando com quem você esteve em contato. É basicamente impossível criar um sistema de rastreamento de contatos completamente anônimo.

O Google, a Apple ou um hacker poderiam usá-lo para descobrir onde eu estive?

Somente sob muito circunstâncias específicas. Se alguém estiver coletando seus IDs de proximidade e você é positivo e decide compartilhar seu diagnóstico e eles executam todo o rigamarole descrito acima, eles poderiam usá-lo para vincular você a um local específico onde seus IDs de proximidade foram identificados na natureza.

Mas é importante observar que nem a Apple nem o Google estão compartilhando informações que poderiam colocá-lo diretamente em um mapa. O Google possui muitas dessas informações e a empresa as compartilhou em um nível agregado, mas não faz parte desse sistema. O Google e a Apple podem saber onde você já está, mas eles não estão conectando essas informações a esse conjunto de dados. Portanto, embora um invasor possa recuperar essas informações, ele ainda acaba conhecendo menos do que a maioria dos aplicativos no seu telefone.

Alguém poderia usar isso para descobrir com quem eu estive contato?

Isso seria significativamente mais difícil. Como mencionado acima, o telefone mantém um registro de todos os IDs de proximidade que recebe, mas as especificações deixam claro que o registro nunca deve sair do telefone. Enquanto o seu registro específico permanecer no seu dispositivo específico, ele será protegido pela mesma criptografia de dispositivo que protege seus textos e e-mails.

Mesmo que um mau ator roubasse seu telefone e conseguisse romper essa segurança, tudo o que eles teriam seriam os códigos que você recebeu e seria muito difícil descobrir de quem essas chaves originalmente vieram. Sem uma chave diária para trabalhar, eles não teriam uma maneira clara de correlacionar um ID de proximidade com outro, por isso seria difícil distinguir um único ator na bagunça dos rastreadores Bluetooth, e muito menos descobrir quem estava se encontrando com quem. E, crucialmente, a criptografia robusta torna impossível derivar diretamente a chave diária associada ou o número de identificação pessoal associado.

E se eu não quiser que meu telefone faça isso?

Não instale o aplicativo e, quando os sistemas operacionais forem atualizados no verão, deixe a configuração “rastreamento de contato” desativada. A Apple e o Google insistem que a participação é voluntária e, a menos que você tome medidas proativas para participar do rastreamento de contatos, poderá usar o telefone sem se envolver.

Isso é apenas um sistema de vigilância disfarçado?

Esta é uma pergunta complicada. Em certo sentido, rastreamento de contato é vigilância. O trabalho de saúde pública está cheio de vigilância médica, simplesmente porque é a única maneira de encontrar pessoas infectadas que não estão doentes o suficiente para procurar um médico. A esperança é que, diante dos danos catastróficos já causados ​​pela pandemia, as pessoas estejam dispostas a aceitar esse nível de vigilância como uma medida temporária para conter a disseminação do vírus.

Uma pergunta melhor é se esse sistema está conduzindo a vigilância de maneira justa ou útil. Importa muito que o sistema seja voluntário e importe muito que ele não compartilhe mais dados do que o necessário. Ainda assim, tudo o que temos no momento é o protocolo, e resta saber se os governos tentarão implementar essa idéia de maneira mais invasiva ou dominadora.

À medida que o protocolo é implementado em aplicativos específicos, haverá muitas decisões importantes sobre como ele é usado e quantos dados são coletados fora dele. Os governos tomarão essas decisões e poderão tomá-las mal – ou pior, podem não tomá-las. Portanto, mesmo se você estiver empolgado com o que a Apple e o Google colocaram aqui, eles só podem jogar a bola – e há muito o que os governos fazem depois de pegá-la.





Fonte