Google ed Apple avviano la distribuzione delle API anti-Coronavirus

Si concretizza l’annuncio comune che era stato reso da Google ed Apple alcune settimane fa: Rilasciate le API Google ed Apple per il tracciamento delle infezioni da Coronavirus.
Le due aziende hanno infatti avviato la distribuzione delle nuove API di sistema (rispettivamente, per i terminali Android e iOS) sulle quali gli enti pubblici, le autorità sanitarie o i soggetti terzi autorizzati, potranno costruire le app per il tracciamento delle infezioni.

In Italia l’app che userà le API di Google ed Apple sarà “Immuni” che usa uno schema decentralizzato e che verrà portata al debutto nel corso dei prossimi giorni.

Nell’articolo Come funziona Immuni e qual è il comportamento delle app anti Coronavirus abbiamo spiegato nel dettaglio come funzionano le app di proximity tracing e come utilizzeranno i segnali Bluetooth nelle vicinanze, appoggiandosi alle API di Google ed Apple, per tenere traccia dei contatti tra individui.

Google ed Apple hanno deciso di intervenire perché, diversamente, gli sviluppatori sarebbero stati costretti a inutili “equilibrismi” per accedere all’utilizzo del modulo Bluetooth.
Come regola generale, infatti, nessuna applicazione installata può usare il Bluetooth in background: senza il “via libera” da parte di Google ed Apple si sarebbero potute venire a creare situazioni spiacevoli, con le varie applicazioni non in grado di tracciare correttamente i contatti usando comportamenti dissimili da un dispositivo all’altro.

Apple sta distribuendo le API anti-Coronavirus sotto forma di un aggiornamento (iOS 13.5) che tra l’altro migliora anche il sistema Face ID permettendo il riconoscimento facciale e lo sblocco del dispositivo per colore che indossano una mascherina per proteggersi dalle infezioni virali e dallo smog.
Dopo aver installato iOS 13.5, l’opzione per attivare o disattivare le notifiche COVID-19 (le segnalazioni, sulla base delle app installate, che informano gli utenti circa un potenziale contatto con soggetti infetti) risulterà gestibile attraverso la sezione Privacy delle impostazioni.

Quanto a Google, l’azienda conferma il lancio delle API destinate agli utenti Android e conferma che arriveranno via a via sui dispositivi sotto forma di un aggiornamento dei Play Services.

Alcuni continuano a parlare di potenziali violazioni della privacy. Da parte nostra non ce ne sono e non ce ne possono essere.
La tecnologia di proximity tracing in questione si serve del modulo Bluetooth e consente di inviare notifiche alle persone eventualmente entrate in contatto con soggetti positivi COVID-19 senza far trapelare dati personali e sensibili.
Gli unici dati scambiati dai dispositivi degli utenti sono chiavi casuali (cioè stringhe di 128 cifre composte da 0 e 1) che vengono continuamente cambiate (“ruotate”) e metadati crittografati (la versione del protocollo in uso e i livelli di potenza).
Le chiavi degli individui infetti (accertati come positivi ai test COVID-19 dalle autorità sanitarie), ma non la loro identità o la loro posizione, vengono inviate sulla rete dietro esplicita approvazione del soggetto interessato. In quelle chiavi non c’è alcuna informazione per risalire all’identità del singolo soggetto positivo al virus.

Problemi in fatto di privacy non sembrano esservene: semmai bisognerà verificare alla prova dei fatti l’efficacia di questa soluzione. Come abbiamo visto nell’articolo Come funziona Immuni e qual è il comportamento delle app anti Coronavirus il tempo e la potenza del segnale giocano un ruolo fondamentale e gli errori (falsi positivi e falsi negativi) sono in agguato.

Ogni smartphone è infatti dotato di un modulo radio Bluetooth in grado di trasmettere e ricevere dati su brevi distanze, tipicamente fino a circa 10 metri.
Secondo lo schema condiviso e concordato da Google ed Apple, telefoni Android e iOS aggiornati con le nuove API in distribuzione, che hanno il modulo Bluetooth attivo e installata un’app come l’italiana “Immuni“, trasmetteranno un numero generato in modo pseudo-casuale che cambia ogni 10 minuti.
Gli stessi smartphone registreranno in locale tutte le chiavi dei soggetti con cui l’utente ha verosimilmente avuto un contatto insieme con i dati relativi al tempo di esposizione e alla potenza del segnale. Tutte le chiavi vengono conservate in un database sicuro sul dispositivo mobile di ciascun utente.

Quando una persona riceve una diagnosi positiva di COVID-19, può avvertire “la rete” del suo stato di salute usando la stessa applicazione fornita dall’autorità sanitaria pubblica e, con l’approvazione della stessa autorità, trasmette le sue chiavi.
Gli altri smartphone scaricheranno l’elenco delle chiavi dei soggetti positivi e le confronteranno con quelle memorizzate in locale. Nel caso in cui vi fossero una o più corrispondenze, l’utente verrà allertato mediante la visualizzazione di una notifica.

Francia e Regno Unito hanno dichiarato di non aver intenzione di servirsi delle API di Google ed Apple ritenendo opportuno mettere in campo un sistema di tracciamento centralizzato potenzialmente molto più invasivo in termini di privacy e che solleva anche diversi dubbi sul versante della sicurezza. Il Paese transalpino ha addirittura chiesto a Google ed Apple di disattivare o comunque non distribuire le nuove API sui dispositivi dei cittadini.