关于 COVID-19 接触追踪应用程序我们应该提出的问题

从“开放性”的角度判断接触追踪应用程序的三种方法。
69 位读者喜欢这篇文章。
Hands holding a mobile phone with open on the screen
图片来源:

Opensource.com

在我们所处的疫情危机中,令人鼓舞的事情之一是,我们看到全球范围内志愿服务的大量涌现。我们在 IT 行业也同样看到了这一点,其中一个正在开展工作的领域是应用程序,以帮助追踪 COVID-19。具体而言,人们对用于移动0 电话的 COVID-19 接触追踪或追踪应用程序感兴趣。这些应用程序不是用来监视您是否遵守了封锁程序;而是试图找出谁与谁接触过,并由此,一旦我们知道一个人感染了 COVID-19,病毒可能传播的范围。

现在有很多接触追踪计划,从欧盟的 PEPP-PT 到新加坡的 TraceTogether,从华盛顿大学的 PACT 到麻省理工学院的 PACT。1 谷歌和苹果正在——前所未有地——共同开发一款应用程序。有很多方法可以比较这些应用程序和项目,但在今天的文章中,我想提出三个衡量标准,可以帮助您从“开放性”的角度来考虑它们。

正如 我的博客 的常客所知,我是开源的忠实粉丝——不仅适用于软件,还适用于数据、管理等——而且我相信,这与公民权利或人权也密切相关。有很多方法可以比较这些应用程序,但这三个衡量标准不太技术性,可以帮助我们了解某些应用程序(和相关项目)可能侵犯隐私和我们关心的其他问题的可能性。我不希望从我下载到手机上的应用程序生成的数据现在或将来被用来限制我或他人的公民权利或人权,用于敲诈勒索,甚至用于未经批准的商业利益。

1. 它是开源的吗?

我们的第一个问题必须是:“这个应用程序是开源的吗?” 如果答案是“否”,那么我们就无法知道正在捕获什么,因此也无法知道它是如何被使用的。如果应用程序是闭源的,它可能会从我们手机上的几乎任何测量设备收集任何数据,包括照片、视频、音频、蓝牙、WiFi、温度、GPS 或加速度计。我们可以尝试限制对这些测量的访问,但此类控制并非总是有效,理解关闭它们的影响也很少简单,而且坦率地说,人们很少费心去检查它们。同样糟糕的是,对于闭源,您无法知道安全性的好坏,也无法批评和改进它。这是我多次撰写的内容,包括在我的文章 多人审查并不总是能防止代码出现错误 和 信任和选择开源 中。幸运的是,似乎大多数接触追踪应用程序开源的,但请小心并拒绝任何非开源的应用程序。

2. 数据是集中式的还是分布式的?

为了理解这些应用程序收集的所有数据,需要有一个集中的2 存储库来处理它,对吗?这是常识。

更多关于安全

实际上,不是的。虽然在一个地方管理和处理数据可能更容易得多,但也有方法以分布式方式存储数据,并允许进行接触追踪所需的处理。这可能更复杂,但也使得政府、公司或恶意行为者更难滥用这些信息。我们应该清楚,如果数据可用,这会发生。也许最好的政府和最好的公司会按照他们的标准表现良好,但 a) 这些不一定是我或其他会认可的标准,并且 b) 那些不是“最好”的恶意行为者、政府和公司呢?

3. 如何进行位置或接近度追踪?

这似乎是另一个显而易见的选择:如果您想找出谁与谁接触过,那么方法是查看谁在何时何地。GPS 追踪——以及相关的技术,如 WiFi 接入点位置追踪——结合容易获得的时间数据,将能够确定谁在特定地点与其他人同时出现。这是真的,但它也为滥用提供了巨大的机会,特别是当数据集中保存时(见上文)。另一种选择是使用蓝牙或 NFC3 等传感器,让手机收集关于它们接触过的其他手机(或设备)以及何时接触的信息。这更容易匿名化——或假名化——允许将信息传递给这些手机的所有者,但与此同时,政府、公司和恶意行为者更难滥用。

还有其他问题需要考虑,其中之一是这些传感器并非为此类用途而设计,如果我们选择此选项,我们可能会牺牲准确性。另一方面,人与人之间的许多互动发生在室内,GPS 在室内无论如何效果都差得多,而这些类型的技术可能会有所帮助。

您可能会争辩说,这种衡量标准本身与“开放性”无关,但它是衡量收集到的信息是否可以以离开放的方式使用的关键指标。

其他问题

关于 COVID-19 接触追踪应用程序,我们还可以提出许多其他问题,其中一些与开放性有关,而另一些则无关。这些包括

  • 覆盖范围
    • 并非所有人口群体都像其他人口一样拥有或使用手机,包括穷人、老年人和某些宗教团体。如果这些项目减少了对这些群体的访问,它们的效果如何?
    • 较旧的设备可能具有不太准确的传感器,或者不具备应用程序所需的一些功能。更重要的是,使用这些较旧的设备可能与上面提到的一些人口群体之间存在关联。
    • 有些人很少更新手机上的应用程序,因此即使他们加载了应用程序的初始版本,具有功能或安全改进的新版本也可能在设备集中不均匀分布。
  • 移除:完全移除应用程序有多容易,不这样做会有什么后果,以及人们无论如何有多大可能这样做?4
  • 这些应用程序的使用是强制性的还是自愿的?如果是前者,则存在对公民权利或人权的严重担忧,更不用说上面提到的关于覆盖范围的问题。

所有这些问题都很重要,但与应用程序和项目的“开放性”问题没有直接关系。但是,我们现在有一些很好的机会来合作和影响一些对公共卫生和福祉非常重要的项目,而且我认为,在我们认可、安装或使用任何正在创建的应用程序之前,我们必须考虑我提出的关于开放性的问题。

0. 或者,如果您在北美,则为“cell”。

1. 是的,他们选择了相同的首字母缩略词。是的,这很令人困惑。

2. 或者,我想,根据您的地理位置,可以称为“centralized”。

3. “近场通信”——与您使用手机或信用卡/借记卡进行非接触式支付时使用的功能相同。

4. 您的手机上还有多少应用程序您已经三个月没打开过了?是的,我也是。

这最初出现在 Alice, Eve, and Bob—安全博客 上,并经许可重新发布。

标签
健康
Mike Bursell
User profile image.
自 1997 年左右以来,我一直从事开源工作,并且从那时起一直在家庭和工作中使用 (GNU) Linux 作为我的主要桌面:并非总是容易......  我是一名安全专家和架构师,Enarx 项目的联合创始人,目前是一家初创公司的 CEO。
更多关于我

2 条评论

Avatar
Mario Inter | 2020 年 5 月 22 日
尚无读者喜欢这篇文章。

现在这些问题更加必要了,因为一些国家引入了用于监控公民隔离的应用程序(例如,在波兰已经实施了类似的东西),可能会为了不良目的而过度使用它们。值得跟进这一点。

相关内容

Creative Commons License本作品根据知识共享署名-相同方式共享 4.0 国际许可协议获得许可。
© . All rights reserved.