活久见!谷歌苹果联手抗疫,蓝牙追踪系统今天上线测试

来自:智东西 2020-05-04

智东西(公众号:zhidxcom)

编 | 董温淑

智东西 4 月 30 日消息,就在今天,苹果和谷歌公司联手推出的 " 暴露通知 " 系统上线测试,测试周期为几个星期。这个系统通过蓝牙判断手机用户之间的距离,可以警示无意间接触了 COVID-19 病毒的用户。

苹果和谷歌的联手自 4 月 10 日官宣后就备受关注,在全球新冠肺炎感染人数已经超过 300 万人规模的时候,这套 " 暴露通知 " 系统有巨大意义,但要按两家公司设想的模式来运行,仍有在很多方面面临困难,这也让它在最初公布的节点(4 月 28 号)跳票了。同时,由于各方对隐私问题的担忧,这一方案也备受质疑。

根据中国的抗疫经验,追踪密切接触者是有效发现、隔离四类人员(感染者、疑似感染者、无法明确排除的发热患者、密切接触者)的重要前提之一,对于阻止疫情扩散意义重大。因此,多国政府、各类组织纷纷推出病毒接触者追踪方案。

根据谷歌、苹果 4 月 10 日声明,这个系统不会获取用户位置信息,而且使用方法十分简单。如果某位用户不幸确诊,只需在系统中报备,与其有过接触的其他用户就会收到通知。

从官宣至今整整 20 天过去,经历过与各国的艰难协商、技术攻关,这个系统从 " 接触者追踪(Contact Tracing)" 更名为 " 暴露通知(Exposure Notification)"。终于定于今天投入测试:苹果发布了 iOS 13.5 beta 版,谷歌向部分测试用户提供了内置新功能的Google Play 更新包。另外,苹果、谷歌表示将在周五给出更多技术细节。

两家公司表示,如果测试顺利进行,将在 5 月中旬发布第一代系统、6 月份推出第二代系统。

这一系统能否达到两家公司宣传的抗疫目的?系统背后的技术原理是什么?隐私风险性究竟如何?有哪些用户可以使用这项功能?智东西对这些问题进行了深度挖掘。

一、1 人 1 个识别码,蓝牙帮你记住接触过谁

根据发布在苹果官网上的技术规范,暴露通知系统采用的是一种蓝牙低功耗技术(Bluetooth Low Energy)。使用时,用户设备通过用蓝牙进行连接,互相交换信息、记录接触对象和接触时间。

▲设备交换信息的过程

技术规范链接:

//covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-BluetoothSpecificationv1.1.pdf

每台设备被分配到一个 16 比特的 0*FD6F 通用唯一识别码(UUID)。16 位 UUID 基于两种数据生成:16 比特的滚动近距离标识符和 4 比特的关联加密元数据。

设备在发送出 UUID 同时,用滚动近距离标识符(Rolling Proximity Identifier)标记接收到的代码。约每 15 分钟,滚动近距离标识符会更新一次,以记录收到 UUID 的时间。

这个系统还需要得到相关政府部门、医疗机构的支持。苹果和谷歌提供 API 接口,公共卫生部门自行研发 App。

另外,感染者需要得到医疗机构的确认。如果某位用户经医疗机构确诊为新冠肺炎患者,就可以在系统中报备病情。系统会将确诊患者的 UUID 码发出,其他设备将其与收到 UUID 码的历史记录进行比对,判断用户与确诊者是否有过接触。

二、识别码经过加密,黑客认不出

在整个流程中,UUID 码是匹配用户身份的唯一凭据,为了防止黑客通过 UUID 码倒推回用户身份,苹果和谷歌公司对滚动近距离标识符和元数据进行了加密。

滚动近距离标识符(RPI,Rolling Proximity Identifier)又称蓝牙伪随机标识符(Bluetooth Pseuddorandom Identifier),源自滚动近距离标识符密钥(RPI Key)。滚动近距离标识符密钥中包含着接触时间信息:临时暴露密钥(Temporary Exposure Key)和离散时间信号。

首先,滚动近距离标识符的更新频率与蓝牙信号地址的变化频率相同,这样可以防止连接性(link-ability)追踪和无线(wireless)追踪。

其次,临时暴露密钥(Temporary Exposure Key)的更新频率被设置为 144,密钥有效期为 24 小时。每个密钥都由加密随机数字生成器独立生成。

另外,根据协议,时间用 unix 时间戳方式表示,以 10 分钟间隔进行离散化处理。

与用户身份标识无关的加密元数据与滚动近距离标识符关联。只有在用户确诊并主动报备病情后,元数据才会解密。

除了技术层面,两家公司也在政策上做了规定:

1、通过此系统收集的信息都会留在用户设备上,不会上传至公共部门或科技公司的中央数据库;

2、用户有权选择不启用这一功能,只要不更新系统或更新后关闭这一功能就可以;

3、承诺疫情结束后会禁用这一系统。

三、仍有局限性,只能作为传统追踪手段的补充

尽管 " 暴露通知 " 系统使用的 BLE 技术有耗电低、匹配精准、隐私风险低等优势,但它也存在一些问题留待解决。

首先是技术问题。

1、蓝牙连接范围可能不满足社会隔离有效距离的要求

理论上来说,BLE 技术的连接范围可以达到 100 米以上,但实际上这还要取决于硬件的情况。另外,蓝牙信号也很容易被墙壁阻隔。以依靠蓝牙连接的 AirPods 和iPhone为例,其有效配对范围约为 8m,而社会隔离的有效距离一般为 18m。

2、蓝牙追踪系统无法更精确地判断用户之间的接触情况

例如,在确诊用户和其他用户分处两个邻近房间的情况下,其他用户没有感染风险,但系统无法辨别。

其次,苹果和谷歌还需要回应多方对隐私风险、合法性的担忧。

4 月 13 日晚,特朗普在白宫新闻发布会上评价蓝牙追踪项目,称 " 与其说这是一个机械问题,倒不如说是一个宪法问题。" 他表示会就此在接下来四个星期里开展广泛讨论。

4 月 15 日,美国参议员理查德 · 布鲁门萨尔(Richard Blumenthal)在一份声明中表示:" 谷歌和苹果要做许多工作去说服公众,让他们相信追踪接触者的技术不会对他们的隐私产生威胁。"

另外,从公众使用习惯角度来说,并非所有人都会随身携带手机,也不是所有手机都会开启蓝牙功能。

综合来说,谷歌、苹果推出的蓝牙接触追踪方案需要在以下几方面形成闭环:科技公司的技术设想、从追踪技术到隐私保护技术的实现、医疗部门推出 App、用户更新系统并开启相应设置、用户随身携带手机、系统运作良好、新冠病毒感染者自觉上报等。

第一代系统刚刚上线测试,用户的接受程度、系统运行效果都还未知。目前," 暴露通知 " 系统仅能作为传统人工排查手段的补充,而非替代。

结语:第二代系统正在研发,将不再需要 App

目前,各国对 " 暴露通知 " 系统的态度不一。

4 月初,多家媒体曾报道 " 暴露通知 " 系统在法国、英国落地受阻,原因是这两国政府希望这一系统能在后台运行、并把用户数据储存到中央数据库,而苹果、谷歌坚持将数据留在用户设备上。一位法国官员甚至认为:" 欧盟国家完全被谷歌和苹果挟持。"

除非协商一致,否则 " 暴露通知 " 系统将无法覆盖这几个国家的用户。

另一面,德国于 4 月 26 日宣布接受苹果、谷歌的隐私协议,将引入 " 暴露通知 " 系统帮助抗疫。

在第一代系统上线测试的同时,谷歌和苹果也在推进第二代系统的研发。据称两家公司计划将第二代系统直接内置到 iOS 和 Android 系统中,这样用户在不安装医疗卫生部门 App 的情况下就可以使用 " 暴露通知 " 功能。

智东西将持续关注这一项目进展。

参考信源:The Verge,Wired,Reuters,CNET,WHOIS,9To5Mac