20 perguntas sobre aplicativos de rastreamento de contágio Covid-19

Governos ao redor do mundo estão lançando aplicativos de rastreamento contágios da Covid-19. Apesar de seu louvável objetivo de impedir a propagação da pandemia e acelerar o retorno à normalidade, sem surpresa, eles estão envolvidos em controvérsias. Como o próprio nome sugere, um aplicativo de «rastreamento» levanta questões sobre a ameaça à privacidade e segurança dos cidadãos. Neste artigo, listamos 20 das perguntas mais frequentes que todos fazemos sobre o uso desses aplicativos .

1. Qual é o objetivo desses aplicativos ?

O objetivo desses aplicativos é impedir a propagação do vírus . No passado, o procedimento era diferente: por meio de entrevistas com indivíduos infectados, eles eram questionados sobre as pessoas com as quais haviam estado em contato. Uma vez identificados, esses indivíduos foram notificados para colocar em quarentena ou serem priorizados para testes de diagnóstico. Esse método manual também levanta preocupações com a privacidade, é propenso a erros, é extremamente caro em termos de tempo e pessoal e também é limitado a contatos que podem ser identificados pela pessoa infectada.

2. Como os aplicativos de rastreamento de contágio funcionam ?

Depende de cada aplicativo em particular, mas, em geral, todos eles funcionam emitindo constantemente códigos Bluetooth únicos e alterados. Ao mesmo tempo, monitoram constantemente os telefones à sua volta, gravando os códigos de qualquer outro telefone que esteja dentro de um determinado intervalo e por quanto tempo. Por exemplo, dentro de um raio de 2 metros por 10 minutos.

Quando uma autoridade de integridade confirma que um usuário está infectado, seu aplicativo carrega códigos anônimos gerados nas últimas duas semanas em um servidor. Se o aplicativo de outro usuário encontrar uma correspondência com um de seus códigos armazenados, ele notifica que eles podem ter sido expostos e informa sobre as etapas a seguir: quarentena ou teste de diagnóstico ou o que a autoridade de saúde decidir. 

O sistema usa Bluetooth LE, não GPS, é totalmente opcional, não coleta dados de localização dos usuários e não carrega nenhum código de ninguém sem um diagnóstico positivo do Covid-19.

3. O que a Apple e o Google têm a ver com tudo isso?

Em 10 de abril, a Apple e o Google se surpreenderam com o anúncio de sua aliança para criar uma tecnologia baseada no Bluetooth LE (Low Energy) para rastreamento de contatos integrado nos sistemas operacionais iOS e Android. Diferentes países poderão desenvolver seus aplicativos de rastreamento de contatos nas funções fornecidas pelas APIs e pelas plataformas Apple e Google. Ambas as empresas criaram essa tecnologia para facilitar aos governos de todo o mundo a criação de aplicativos de rastreamento de contágio, se assim o desejarem.

4. Por que esses aplicativos usam Bluetooth LE e não GPS?

A tecnologia GPS permite localizar uma pessoa o tempo todo, o que representaria uma séria ameaça à privacidade. Por outro lado, a comunicação Bluetooth ocorre diretamente entre dispositivos móveis, sem registrar o local onde ocorreu a proximidade, o que facilita a criação de um sistema descentralizado.

Por outro lado, o Bluetooth LE nos permite estimar com mais precisão a proximidade funcional em ambientes de alto risco: dentro de edifícios, veículos e aeronaves, tráfego subterrâneo, etc. Pode-se até saber se duas pessoas a menos de 2 m uma da outra estão separadas por uma partição que mede a força do sinal Bluetooth e com informações adicionais dos sensores do terminal: se está dentro ou fora de uma bolsa ou bolso, se está parado ou em movimento etc.

5. Até que ponto minha privacidade e segurança serão ameaçadas se eu instalar esses aplicativos ?

É difícil saber por que cada país desenvolverá seu próprio aplicativo e até cada região dentro de cada país, com base ou não na plataforma Apple e Google. Cerca de 300 cientistas e pesquisadores de todo o mundo assinaram um manifesto onde propõem os seguintes princípios que devem ser adotados por qualquer aplicativo :

• Os aplicativos de rastreamento de contatos devem ser usados ​​apenas para apoiar medidas de saúde pública para a contenção do Covid-19. O sistema não deve ser capaz de coletar, processar ou transmitir mais dados do que o necessário para atingir esse objetivo.
• Qualquer solução considerada deve ser totalmente transparente. Os protocolos e sua implementação, incluindo os subcomponentes fornecidos pelas possíveis empresas colaboradoras, devem estar disponíveis para análise pública. Deve ser documentado de forma inequívoca como, onde e para que os dados processados ​​são armazenados. Os dados coletados devem ser mínimos para o objetivo especificado.
• Quando houver várias opções possíveis para implementar um determinado componente ou função do aplicativo, a opção que melhor preserva a privacidade deve ser escolhida. Desvios deste princípio são permitidos apenas se necessário para atingir o objetivo do aplicativo com mais eficiência e devem ser claramente justificados.
• O uso de aplicativos de rastreamento de contato e os sistemas que os suportam devem ser voluntários, usados ​​com o consentimento explícito do usuário e os sistemas devem ser projetados para poderem ser desligados e todos os dados excluídos quando a crise atual atingir sua fim.

Por seu lado, Apple e Google garantem que a privacidade do usuário seja um requisito essencial no desenvolvimento de suas próprias especificações:

• A posição do usuário não é necessária: qualquer uso do local será opcional. Caso seja necessário acessar a geolocalização do dispositivo, será necessário consentimento expresso.
• Identificadores de proximidade exclusivos mudam a cada 15 minutos, por isso é inútil rastrear uma pessoa usando Bluetooth.
• Identificadores de proximidade exclusivos serão trocados apenas entre dispositivos e não serão enviados para a nuvem.
• O usuário deve decidir se deseja participar da iniciativa.
• O usuário deve consentir se quiser ser identificado – anonimamente, sempre – como uma pessoa que possui o Covid-19.

Teremos que aguardar que os aplicativos implantados pelos diferentes governos avaliem até que ponto eles cumprem ou não essas diretrizes.

6. Qual a eficácia desses aplicativos para impedir a pandemia?

De acordo com uma análise dos pesquisadores do projeto Covid-Watch , os aplicativos de rastreamento de contatos exigem entre 50 e 70% da população para usá-los. Caso contrário, as pessoas sintomáticas não saberiam onde contrairam o vírus, e as pessoas assintomáticas continuariam a espalhá-lo sem saber. Para referência, na Coréia do Sul, apenas 10% da população chegou a usar o aplicativo oficial.

Por mais que a Apple e o Google ofereçam suporte a esses aplicativos, seu grau de penetração será menor que o esperado. Segundo analistas da Counterpoint Research , cerca de 1,5 bilhão de usuários usam telefones básicos que não operam no Android ou iOS e que não possuem chips Bluetooth LE. Da mesma forma, aqueles que usam smartphones com mais de cinco anos não poderão instalar esse aplicativo devido a restrições de tecnologia ou sistema operacional. 

Por sua parte, Bill Gates ressalta, com razão, em uma publicação recente no blog que: “uma limitação é que você não precisa necessariamente estar no mesmo local e ao mesmo tempo para infectar alguém; pode deixar o vírus na superfície. Este sistema perderia esse tipo de transmissão «.

Por fim, qualquer rastreamento de contato eficaz é inútil sem testes de diagnóstico maciços, que hoje ainda são poucos, caros e lentos. Além disso, os indivíduos diagnosticados precisam de liberdade financeira e espaço para quarentena. E muitas pessoas mais velhas ou de baixa renda, que podem estar em maior risco, são precisamente as menos propensas a ter smartphones capazes de hospedar esses aplicativos .

7. Quando o aplicativo me avisa que alguém que estava próximo foi infectado, que garantias tenho?

É claro que ninguém poderá notificar que está infectado porque o sistema se prestaria a todos os tipos de erros e abusos: de usuários que se auto-diagnosticam incorretamente, a  trolls  que inundam o sistema com falsos positivos. A solução exige que o diagnóstico positivo seja aprovado por uma autoridade médica ou de saúde pública competente.

Outros falsos positivos podem vir simplesmente de erros nos cálculos de proximidade do Bluetooth LE, especialmente porque ele falha na detecção de painéis, partições ou paredes.

Como qualquer sistema de detecção, os aplicativos de rastreamento terão seus falsos positivos e falsos negativos: desde vírus depositados na superfície até contatos com pessoas sem smartphone ou que optem por não ativar o rastreamento. 

8. Se o aplicativo me avisar que cheguei perto de uma pessoa infectada, o que devo fazer?

Cada país decidirá como você será notificado, por meio de uma chamada, uma mensagem ou uma notificação no smartphone . A partir daí, pode ser recomendável que você faça uma quarentena, visite um centro de saúde ou hospital para fazer o teste ou outras opções, dependendo do seu território.

9. Quais dados pessoais os aplicativos compartilharão e com quem?

Esses esquemas foram projetados para não carregar dados da maioria dos usuários (não infectados) e apenas códigos Bluetooth anônimos de pessoas infectadas. Mesmo assim, ao relatar o contágio, o usuário deve necessariamente carregar alguns dados no servidor, os quais, por mais anônimos que possam deixar um rastro, como o endereço IP do terminal . Quem gerencia esse servidor, provavelmente uma instituição de saúde pública, pode identificar os telefones das pessoas que se reportam como positivas e, portanto, seus locais e identidades.

Da mesma forma, tempos prudenciais são propostos para hospedar essas informações e é aconselhável não armazenar metadados de comunicações, mas, novamente, isso não parece ser intrinsecamente implementado no código, mas sim apela às boas práticas dos gerenciadores de servidores.

10. Quem saberá se eu fui infectado?

Quando um indivíduo compartilha voluntariamente seu diagnóstico, seu aplicativo carrega em um servidor os códigos que ele gerou nos 14 dias anteriores. Todos os aplicativos estão baixando essas listagens de código do mesmo servidor para verificar se algum deles corresponde aos armazenados localmente. Portanto, ninguém saberá se você foi infectado, exceto obviamente a autoridade de saúde que o diagnosticou em primeiro lugar.

11. Qual aplicativo você propõe usar previsivelmente na Espanha?

Aparentemente, o Secretariado de Digitalização e Inteligência Artificial está apostando em um sistema descentralizado como o recomendado pela UE . A Espanha aderiu inicialmente ao Pepp-PT , mas modificou parte de seu compromisso inicial e atualmente defende um sistema centralizado.

12. Quando seu uso começará?

Depende de cada país. Na Espanha, o início das operações está previsto para terça – feira, 28 de abril.

13. Sou obrigado a usar esses aplicativos ?

De momento não. Como vimos, a eficácia do sistema é baseada em seu uso maciço, portanto pelo menos 60% da população deve usá-los para que o sistema seja eficaz. Cada cidadão equilibrará em sua consciência o bem público com a salvaguarda da privacidade para tomar a decisão de usá-los ou não.

14. Se eu tiver o aplicativo instalado, alguém poderá acompanhar meus movimentos?

Em princípio, não, pois os aplicativos de rastreamento de contatos são baseados no Bluetooth LE e não no GPS. E digo, em princípio, porque o criador do aplicativo pode querer ativar o uso do GPS, mas essa opção não depende mais da plataforma de rastreamento fornecida pela Apple e pelo Google ou por outras iniciativas, como o DP3T . Em qualquer caso, exceto por um ataque cibernético em seus servidores, o monitoramento estará disponível apenas para as autoridades de saúde pública.

15. Muitos aplicativos de rastreamento de contágio estão surgindo em todo o mundo, são todos iguais?

Não. Embora todos sejam baseados em Bluetooth seguindo um esquema mais ou menos como descrito, eles diferem em quem controla as informações nos servidores e em quanta informação pessoal é armazenada nesses servidores. As versões que mais protegem a privacidade com ciúmes carregam apenas as chaves geradas pelos dispositivos, que não são pessoalmente identificáveis ​​(exceto por ataques complicados descritos abaixo). Em outras versões, os aplicativos também carregam o perfil pessoal completo dos usuários: nome, idade, endereço, código de identificação etc.

A Coalizão TCN foi criada recentemente , uma coalizão global para estabelecer os protocolos de rastreamento dos primeiros contatos digitais para combater o Covid-19. Essa coalizão visa unir esforços para desenvolver um protocolo aberto e compartilhado que possa ser usado por vários aplicativos para conter a pandemia e preservar a privacidade. 

16. Esses aplicativos violam as leis de proteção de dados?

De acordo com o comunicado de imprensa da Comissão Europeia , «eles devem estar em total conformidade com as regras de privacidade e proteção de dados da UE, estabelecidas nas diretrizes apresentadas hoje após consulta ao Comitê Europeu de Proteção de Dados».

17. Quando a pandemia passar, você poderá me rastrear?

Esta pergunta difícil de responder. Jaap-Henk Hoepman, professor de segurança digital da Universidade Radboud Nijmegen, na Holanda, e chefe do  Laboratório de Privacidade e Identidade , não é claro, como denunciado em seu blog . Para ele, os perigos desse sistema não são que ele possa efetivamente ajudar essa futura fase de retorno à normalidade, mas tudo o que poderia surgir depois de implementar esse tipo de sistema em nossos celulares: 

• A polícia pôde ver rapidamente quem esteve perto da vítima de um crime ativando o telefone da vítima como «infectado». 
• O mesmo poderia ser aplicado para encontrar as fontes dos jornalistas ou dos «informantes» que vazam informações.
• Uma empresa pode instalar beacons Bluetooth equipados com este software em pontos de interesse para marcar certos beacons como «infectados» e, assim, localizar aqueles que passaram por ele. 
• Se você possui a Página inicial do Google em casa, o Google pode usar esse sistema para identificar todos os que visitaram sua casa. 
• Se o seu parceiro estiver com ciúmes, ele poderá instalar um aplicativo secreto no seu celular para segui-lo e verificar com quem você esteve em contato; ou pais para espionar seus filhos. 

18. Como a criptografia por trás desses aplicativos funciona ?

Colocando-nos em uma perspectiva mais técnica, a criptografia varia de aplicativo para aplicativo , mas todos seguem etapas semelhantes:

1. Ao instalar o aplicativo, é gerada uma chave exclusiva associada ao dispositivo em questão, levando em consideração os componentes do sistema. Assim, a imprevisibilidade e a impossibilidade de replicação são buscadas para garantir privacidade e anonimato. Além disso, ele é armazenado localmente no dispositivo com segurança.
2. A partir dessa primeira chave, uma segunda chave é derivada, que será regenerada diariamente.
3. Enquanto o Bluetooth está ativado, a comunicação é usada para enviar, nos pacotes associados ao protocolo, um identificador de proximidade. Os terminais habilitados para Bluetooth trocam esses identificadores de proximidade entre si quando caem dentro do raio de alcance mútuo predefinido. Essas chaves mudam a cada 15 minutos e são derivadas das chaves diárias anteriores.
4. Identificadores de proximidade enviados e recebidos são processados ​​e armazenados exclusivamente localmente.
5. Se um dos proprietários do telefone for diagnosticado como positivo, as autoridades de saúde atribuirão a ele um número de permissão.
6. Essa pessoa envia uma solicitação ao banco de dados público com o número de permissão e seu histórico de números de eventos de contato transmitidos.
7. Se o número da permissão for válido, os números dos eventos de contato serão armazenados no banco de dados e transmitidos para todos os outros telefones.
8. Cada telefone compara números de eventos de contatos publicados publicamente com sua própria história . Se houver uma correspondência, isso significa que eles estavam perto de um indivíduo infectado e são instruídos sobre o que fazer em seguida.

19. Quais cenários de ataque podem ser projetados para contornar as medidas de proteção?

Diferentes ataques são embaralhados para revelar a identidade dos usuários diagnosticados como positivos. Felizmente, as arquiteturas descentralizadas exigem rastreamento individual do usuário, o que consome tempo e reduz drasticamente a escala do ataque.

Por exemplo, um invasor pode gravar o rosto de todos na frente da câmera enquanto grava sinais Bluetooth de seus aplicativos . No futuro, se um desses transeuntes informar que é positivo, o aplicativo do invasor receberá todas as suas chaves de servidor como qualquer outra e poderá corresponder aos códigos que o usuário emitiu ao passar na frente da câmera. , identificando assim um estranho como positivo.

Outra versão desse ataque de correlação permitiria o rastreamento comercial: uma empresa de publicidade poderia localizar beacons Bluetooth em lojas na rua que coletam códigos de rastreamento de contatos emitidos pelos clientes que os visitam. A empresa poderia então usar o aplicativo de saúde pública para baixar todas as senhas das pessoas que mais tarde foram diagnosticadas com o Covid-19 e gerar todos os seus códigos nas últimas duas semanas. Esse método poderia determinar hipoteticamente qual trilha de código representava uma única pessoa e segui-las de loja em loja. 

Como o sistema leva não apenas o tempo de exposição como variável, mas também a proximidade dos dispositivos, um invasor pode gerar falsos positivos amplificando seu sinal via hardware para que os usuários que estão a uma grande distância ainda sejam notificados, apesar de É fisicamente impossível para eles serem infectados por esse usuário.

Talvez o problema mais sério esteja no design dos aplicativos e não nos ataques em potencial. Como o criptógrafo Moxie Marlinspike , criador do popular aplicativo de comunicações criptografadas Signal, argumenta no Twitter após o anúncio da Apple e do Google , de acordo com a descrição inicial da API da Apple e do Google, o telefone de cada usuário do aplicativo teria que baixar cada dia, as chaves de cada pessoa recém-diagnosticada com o Covid-19, o que se traduz rapidamente em uma carga de dados significativa: «Se um número moderado de usuários de smartphones for infectado em uma determinada semana, isso significa 100s [megabytes] por cada telefone para baixar ».

Um argumento a favor do sistema centralizado é que os aplicativos podem determinar melhor quem precisa fazer o download de quais chaves, coletando dados de localização GPS, enviando aos usuários apenas as chaves relevantes para sua área de movimento. 

Nesse caso, o Google e a Apple apontam que, se um aplicativo de rastreamento de localização deseja usar o GPS, ele deve primeiro pedir permissão ao usuário, como qualquer aplicativo.  

20. Por que a Apple e o Google mudaram o nome da proposta?

Em sua nova declaração de 24 de abril , a Apple e o Google não se referem mais ao sistema como «rastreamento de contatos», mas como «notificação de exposição», pois consideram que essa expressão explica melhor o valor da proposta. Eles dizem que o objetivo da ferramenta não é «rastrear» os usuários, mas «notificá-los» quando houver uma possível exposição a uma pessoa com coronavírus. Para determinar o nível de exposição, o software poderá calcular a proximidade entre os dispositivos e o tempo de exposição, limitado a 30 minutos.

---

Gonzalo Álvarez
@gonalvmar