Het systeem dat Apple en Google samen ontwikkelen en moet helpen bij het onderzoek naar de contacten van coronapatiënten is kwetsbaar voor misbruik en aanvallen, wat tot valse positieven en surveillance kan leiden, zo stelt de Amerikaanse burgerrechtenbeweging EFF.
Beide techbedrijven komen binnenkort met een programmeerinterface (API) die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contactonderzoekapps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni wordt bluetooth contact tracing direct in Android en iOS verwerkt. Dit zal via een update gebeuren.
De technologie van Apple en Google laat elke telefoon dagelijks een nieuwe privésleutel genereren, ook bekend als een "temporary exposure key". Aan de hand van deze sleutel worden willekeurige identificatiegetallen gegenereerd, genaamd "rolling proximity identifiers" (RPIDs). Wanneer bluetooth staat ingeschakeld verstuurt de telefoon elke vijf minuten een ping met het huidige RPID, dat elke tien tot twintig minuten verandert. Dit moet voorkomen dat third-party trackers de pings kunnen gebruiken om mensen aan de hand van een statisch RPID te volgen.
De temporary exposure keys en alle RPIDs die de telefoon onderweg is tegengekomen worden voor een periode van twee weken op de telefoon bewaard. Wanneer een gebruiker met corona besmet blijkt te zijn kan die zijn temporary exposure keys uploaden. Vervolgens kunnen deze keys worden gebruikt om gebruikers met wie de patiënt in contact is gekomen te waarschuwen.
De EFF heeft de nodige bedenkingen over de plannen van Apple en Google. Zo hebben niet alle mensen een smartphone en is bluetooth niet voor contactonderzoek ontwikkeld. Daarnaast versturen telefoons in het huidige voorstel van Apple en Google elke vijf minuten een ping. Pas als mensen de vereiste tijd bij elkaar in de buurt zijn geweest worden ze als contact geregistreerd.
Daarnaast is de technologie ook kwetsbaar voor aanvallen, waarbij aanvallers gebaseerd op vastgelegde pings iemands identiteit en bewegingspatroon zouden kunnen achterhalen. Politie zou de contactdata kunnen gebruiken om te kijken wie met wie in contact is gekomen en zo bijvoorbeeld relaties tussen bepaalde personen vastleggen. Volgens de EFF zouden mensen de optie moeten hebben om de app tijdelijk uit te schakelen en nabijheidsdata van bepaalde momenten te verwijderen.
Een ander probleem is dat erop dit moment geen manier is om te verifiëren dat het toestel dat een RPID verstuurt ook daadwerkelijk het toestel is dat het genereerde. "Trollen zouden de RPIDs van anderen kunnen verzamelen en die als hun eigen RPID opnieuw kunnen uitzenden", laat de EFF weten. De burgerrechtenbeweging schetst een scenario waarbij er een netwerk van bluetooth beacons op een drukke straat wordt neergezet die alle RPIDs die ze zien opnieuw als hun eigen RPID uitzenden. Iemand die langs zo'n "fout" bluetooth beacon loopt zou alle RPIDs loggen van iedereen die in de buurt van één van de andere foute beacons was. Dit zou voor zeer veel valse positieven kunnen zorgen en het vertrouwen in corona-apps kunnen ondermijnen, waarschuwt de EFF.
"Contactonderzoek dat door een app wordt ondersteund heeft serieuze beperkingen, en we weten nog niet hoeveel het oplevert. Als Apple en Google dit grote sociale experiment leiden, moeten ze het op zo'n manier doen dat de privacyrisico's tot een absoluut minimum worden beperkt, en als ze willen slagen, moeten ze het vertrouwen van het publiek zien te winnen en behouden", zegt Bennett Cyphers van de EFF.
Deze posting is gelocked. Reageren is niet meer mogelijk.