因此,本周的大新闻是,苹果和谷歌已经向全世界发布了他们的“联系人追踪”平台。只有“接触者追踪”现在变成了“曝光通知”,从目前所有的证据来看,它们不会产生足够的效果。更糟糕的是,它们引入了一系列尚未解决的危险安全风险。错误的希望,错误的开始。
让我们从一开始就把事情搞清楚。接触者追踪并不是一个可选蓝牙应用程序可能注册你的接近一个感染者,在非常有限的情况下,包括运行应用。不,你们都完全接触者追踪大量手工操作,surveillance-heavy, privacy-intrusive过程结合强力措施和细致的对细节的关注,训练有素的人员的权限下,根感染的传播。
自从有人建议全世界效仿新加坡的TraceTogether模式,推出蓝牙近距离应用以来,有些事物通过蓝冠注册Wi-Fi连接,其他事物则使用蓝冠测速蓝牙,而另一些事物则通过Thread或Zigbee连接。专家们就一直在警告它们可能的功效。新加坡智能手机用户的占有率仅略高于20%,而实际需求为80%。而且,让我们面对现实吧,如果新加坡不能提供所需的安装,那么美国又有什么希望呢美国、德国、法国和英国
黑客窃取了许愿骨应用程序4000万用户的数据
iOS 13.5混乱:这个令人沮丧的问题让iPhone应用程序变得毫无用处
向雇主谎称自己感染了新型冠状病毒?联邦调查局可以逮捕你
我之前已经详细报道过这个问题。这是一个完全可以预见的问题,但政府似乎不愿在制定计划时听取意见。所谓的联系人追踪应用变成了一个救生筏,一条脱离封锁的逃生通道。如果数以亿计的人下载并安装一个应用程序,然后遵守它的每一个命令,一切都会很好。
拥有世界上最好的意愿,魔鬼确实是在这个痛苦的功效问题的细节。一个残酷的事实是,老年人和穷人不太可能拥有能够运行这些应用程序的新型智能手机——这正是我们最需要保护的最脆弱的群体。尽管政客们非常希望这一计划奏效,但它不会奏效,事情就是这么简单。成千上万的联系人追踪者需要被雇佣和培训。我们都需要习惯这样一个事实,即人工接触追踪依赖于窥探个人信息和监视监视。
只要看看《泰晤士报》总结的英国就知道了苹果自己开发的应用程序没有谷歌和苹果的框架那么弱,已经引发了“政府内部的紧张情绪,担心一旦解除封锁,人们是否会遵守指令”。一款接触追踪应用的试用表明,只有在有人而非自动信息的劝说下,他们才会这么做。”
更糟的是。虽然依靠蓝牙应用来对抗全球大流行是欠考虑的,但仍有一些详细的安全和范围蔓延风险需要公开,需要解决和讨论,需要理解。如果没有这种程度的辩论,我们都有失去控制的风险,“一步一步地”侵蚀我们的安全和隐私,而没有机会接受和同意浮士德式交易的条款。
首先,让我们处理一些显而易见的问题。数据是一种很容易上瘾的毒品。我们已经看到,英国和法国反对苹果和谷歌合作推动的去中心化平台。修补这些应用程序的边缘、挖掘数据以获取模式和收集额外信息的机会将很难抗拒。全国范围内收集数据以换取公民福利(比如旅行和工作的权利)的应用程序的概念将会流行起来。
其次,以创纪录的速度和数量部署超大规模的应用程序,会诱使黑客和网络攻击者进行恶意交易。不熟悉的用户联合使用的新应用程序将不可避免地部署有漏洞,这对那些威胁行为者来说太好了。而手机和固件版本的大杂烩带来了巨大的风险。
看看本周关于所谓的蓝牙模拟(偏差)攻击的报道,设备被骗接受一个复制了前一个配对签名的新连接。随着新的蓝牙应用即将问世,披露蓝牙“包含安全连接建立过程中模仿攻击的漏洞”的时机显得有些尴尬。研究人员警告说:“任何符合标准的蓝牙设备都有可能受到攻击……”我们测试的所有设备都很容易受到偏见攻击。”
蓝牙攻击是复杂和复杂的,这不是数百万人现在应该担心的。相反,你应该担心的是,那些警告你曾接近一位受感染患者、或提供要安装的联系人追踪应用程序链接、或提供有关本地感染信息的简单化、社交工程式的短信和电子邮件数量即将激增。这些都是不可避免的,将设计欺骗您安装恶意软件或放弃用户名和密码。
对于接下来可能发生的事情,我们也有现实的检验。政府需要让这些数字平台发挥作用,蓝冠测速5G的速度将取决于无线运营商使用的无线电波。例如,频率低于6 GHz的无线电波传播的很远,但是蓝冠代理为不断增长的数据需求提供了有限的容量。而在它们的初期阶段,它们是做不到的。这将为第二阶段留下两个选择。第一个是强制记录特定个人访问特定地点的时间。忘记隐私吧,这是一种强大的功能,可以确保当一个人被感染时,也很容易将他最后14天与其他公民相互参照,并在必要时发出警告。新加坡已经通过其安全入境计划走了这条路。
政府在工作场所和其他场所的签到和签到时表示:“将强制部署那些个人可能长时间处于近距离或封闭空间的场所,以帮助我们的接触追踪器建立集群链接和传播链。”
第二种选择是把所有东西都连接在一起。数字联系人追踪应用程序变成了工作、旅行、访问商店和餐馆的qr码通行证。如果一个公民没有安装并一直运行邻近应用程序,或者直到他们隔离或在发出邻近警报的情况下进行测试,那么该许可可以自动撤销。侵入式和反乌托邦式,没错,但很有效。
这就把我们引向了棘手的位置跟踪问题。苹果和谷歌禁止在应用程序中利用他们的数据捕捉位置,而且这些数据需要保存在手机上。与此同时,卫生机构认为,如果没有中央数据分析和定位字段,这些数据就会严重减少——除了数据采集和准确性问题之外。知道有两个人离得很近是一回事,而知道有几十个人同时在那里又是另一回事。这是一种潜在的爆发,一种可以登记和追踪的爆发。
就像我之前说过的,依赖数字接触追踪作为救生筏的问题在于,它只有在处理得当的情况下才能发挥作用。你不可能怀孕到一半。各国政府,以及他们的公民,将很快必须决定,这些技术应该被设计成保护隐私还是对抗病毒。他们不能两者都做。不可避免的是,最大的风险不会来自计划周密的部署的范围,而是来自安全、效率和责任方面的差距,没有统一的规划,系统对方法和结果形成固定的看法。
那么,你应该担心吗?是的,你绝对应该。但这并不是因为你的安全和隐私在理论上存在固有的风险,蓝冠测速网络用于移动设备通信,因为射频是一种有限的共享资源,并且蓝冠官网体系结构已被设计为在广泛的地理区域内和许多设备之间共享此资源。而是因为部署这些系统的执行目前是混乱的,因为它试图同时实现多个相互矛盾的目标。这将会失败,我们最终将会失去目标。这将对感染率产生影响,并使我们在这一过程中变得脆弱和妥协。