Zainstalujesz aplikację rządową ProteGO Safe!, albo nie wejdziesz do sklepu

Comments · 925 Views

To znaczy w końcu wejdziesz, ale później niż ci z zainstalowaną apką. Długo się zastanawialiśmy jak rząd będzie przymusi, tfu, zachęcał Polaków do instalacji niegwarantujących prywatności a często wręcz niedopracowanych aplikacji mobilnych służących do śledzenia konta

Opublikowane właśnie przez Ministerstwo Rozwoju zasady “luzowania” ograniczeń w handlu (EDIT: są już także tej rządowej stronie. EDIT2: …i już ich nie ma — patrz aktualizacja na dole artykułu) zawierają następujące punkty:

Zobacz także:

Ludzie wyszli na ulicę! Wielkie protesty przeciw tyranii koronawirusowej!

Główny chirurg USA: Przestańcie kupować i nosić maski chirurgiczne

Producent gry pokazuje, jak uporać się z wersją próbną gry Nioh 2

Prezydencki Sondaż. zyskuje Biedroń, Kidawa-Błońska ze spadkiem

Jak odzyskać środki z OFE po śmierci osoby ubezpieczonej?

Zapłacisz 270 zł abonamentu albo odwiedzą cię i nałożą karę. W kilka miesięcy ukarali 9,5 tys. osób

Pasażer skarży się na brud. Jest odpowiedź Kolei Śląskich

Luksemburg pierwszym krajem w Unii Europejskiej, który całkowicie zakazuje stosowania herbicydów zawierających glifosat

"Wiek zgody" na seks ma zostać podwyższony, by przykryć jakoś skandale pedofilskie w Kościele. Nie tędy droga

Dopuszczalne jest jednoczesne wpuszczenie do danego obiektu o 10% wyższej liczby osób o ile ponadnormatywne osoby posiadają aplikację ProteGO Safe. Takie osoby w razie braku wolnych miejsc w sklepie/lokalu nie otrzymują przywilejów jeśli chodzi o stanie w kolejkach.

Umieszczenie przy wejściu do obiektu urządzenia z zainstalowaną aplikacją ProteGo Safe w celu zarejestrowania przez urządzenie klienta, będącego użytkownikiem aplikacji wchodzącego do obiektu. W wypadku braku możliwości wystawienia takiego urządzenia – wydrukowanie kodu QR wygenerowanego z aplikacji ProteGO Safe do zeskanowania przez wchodzących klientów.

Czy jesteście już zbulwersowani? To zostawcie sobie trochę przestrzeni na dodatkowe oburzenie. Oto dwa kolejne “zalecenia”:

Umieszczenie w widocznym miejscu materiałów informacyjnych na temat aplikacji ProteGO Safe.

Zalecanie, na przykład poprzez zniżki lub materiały promocyjne, pracownikom i klientom korzystania z aplikacji ProteGO Safe.

I tak, “biznes”, dla którego najważniejszy jest przecież — no właśnie — biznes, a nie prywatność klientów, będzie namawiał Polaków do instalacji czegoś, czego nie rozumie od strony technicznej i co nie za bardzo ma prawo działać. I jeszcze się tak zastanawiamy, z czego te promocje za instalacje, się wezmą? Z podniesienia ceny wszystkim i potem obniżenia osobom z aplikacją?

Ten przymus i tak niczego nie da…

Dlaczego wymuszanie instalacji Protego Safe (czy innych aplikacji tego typu) to słaby pomysł, który może być szkodliwy dla prywatności użytkownika aplikacji, a w walce z koronawirusem niewiele pomoże? Pisaliśmy już o tym w kilku poprzednich naszych artykułach, ale podsumujmy:

1. Abstrahując od tego, że aby takie aplikacje miały sens to musi korzystać z nich KAŻDY a nie 10% klientów danego sklepu, to wszystkie takie aplikacje bazujące na “wykrywaniu kontaktów” po Bluetooth po prostu nie zadziałają poprawnie i stabilnie, jeśli nie są aktywnie uruchomione. Ten kluczowy dla idei aplikacji problem zdaje się być często pomijany przez osoby nietechniczne wypowiadające się na temat “fajności/nie fajności aplikacji”. A więc powtórzmy to jeszcze raz: takie aplikacje nie działają poprawnie, jeśli są “w tle”, a więc nikogo nie “chronią” dopóki ktoś nie paraduje z nimi wyświetlonymi na ekranie. A naprawdę nie wyobrażamy sobie, żeby teraz każdy na smartfonie wychodząc z domu miał otwartą cały czas na ekranie jakąś (jedną) aplikację. Brak jest póki co wsparcia ze strony producentów mobilnych systemów operacyjnych, aby takie aplikacje mogły działać w tle i nie zżerać energii. A jeśli takie wsparcie się pojawi, to Protego Safe w obecnej formie nie będzie mogło z niego skorzystać, bo…

2. Aplikacje do walki z koronawirusem można zaprojektować z ochroną prywatności użytkownika, tj. w systemie zdecentralizowanym (por. DP-3T) — tak jak wymaga tego Google i Apple. Ale można też użyć systemu zcentralizowanego. Niestety Protego Safe używa właśnie tego zcentralizowanego. To właśnie sprawia, że osoby mające dostęp do infrastruktury (backendu) mogą deanonimizować użytkowników i namierzyć kto z kim i kiedy — a teraz także gdzie.

Polecamy lekturę zastrzeżeń, jakie do twórców Protego Safe wystosował Jarek Potiuk. Tu warty lektury wątek. UDPATE: Ten wątek został zamknięty. Więc Jarek stworzył nowy wątek, doskonale opisując dlaczego aplikacja Protego Safe w obecnym kształcie pozwala na deanonimizację użytkowników i połączeń między nimi.

 

TL;DR: W przeciwieństwie do modelu zapropowanego przez Google i Apple, identyfikatory użytkowników ProteGO nie są generowane lokalnie na urządzeniach, ale pobierane z serwera Ministerstwa Cyfryzacji. Czyli “anonimowe” w zamyśle identyfikatory da się powiązać z adresem IP — a ten może wskazać konkretną osobę, ponieważ strona rządowa ma odpowiednie mechanizmy do wnioskowania o tego typu dane od operatorów. Dodatkowo, o ile aplikacje reklamuje się jako “niewymagającą podawania danych” to nie do końca jest to prawdą. Jeśli ktoś oznaczy się jako zainfekowany, będzie musiał (wedle sugestii jakie są na githubie aplikacji) zweryfikować swój numer telefonu, co też pozbawi go anonimowości (trzeba jednak pamiętać o tym, że jakaś weryfikacja ludzi oznaczających powinna być robiona, aby odsiać żartownisiów — pytanie czy “przez numer telefonu” to najlepsze wyjście?).

Teraz, w modelu z kodem QR stojącym w znanej lokalizacji, aplikacja ProteGO Safe traci kolejmy argument, którym posługują się jej twórcy — “że nie jest możliwe ustalenie lokalizacji”. Otóż jest. Jeśli zgodnie z sugestią Ministerstwa Rozwoju, na wejściu do konkretnego sklepu będzie stała konkretna instancja aplikacji lub kod QR. Co więcej, takie podejście stwarza pole do nadużyć.

Żeby było jasne, powyższe zarzuty w większości tyczą się każdej aplikacji tego typu, nie tylko Protego Safe. Wierzymy w dobrą wolę twórców tej aplikacji, którzy wielokrotnie wsłuchiwali się w krytykę i wprowadzali zmiany w kodzie. Bardzo chwalimy za to, że kod źródłowy jest dostępny publicznie (choć nie cały, bo algorytm determinujący status osób instalujących aplikację nie jest upubliczniony), ale mimo to obecny model aplikacji i takie odgórne, rządowe przymuszanie do jej użycia wygląda po prostu słabo.

Nie mówiąc już o tym, że aplikacji nie ma w iphonowym App Store. I co teraz? Czy nie wszyscy obywatele powinni być równi wobec prawa? Ajfoniarzom chyba pozostaje zrobienie screena ekranu aplikacji na Androida i udawanie, że przy wejściu “coś się skanuje”.

O ile z aplikacji do trackowania kontaktów pomiędzy osobami potencjalnie zainfekowanymi z chęcią byśmy skorzystali, bo widzimy w nich pewne zalety, co podkreślaliśmy już wielokrotnie (patrz nagranie naszego 30 odcinka podcastu Na Podsłuchu), to na pewno nie z takich, które nie mają prawa być skuteczne, a w dodatku narażają prywatność użytkownika. Na razie pozostaje czekać na sfinalizowanie ruchu Google i Apple.

 

Czy ten cel można osiągnąć lepiej?

I żeby nie było, że tylko krytykujemy aplikację Protego Safe i jej podobne. Sam pomysł wymagania dodatkowych danych od 10% “nadwyżkowych” klientów wchodzących do danego sklepu jest kuriozalny. Przecież ta “dziesiątka” nie będzie zarażała tylko siebie nawzajem na terenie tego sklepu, jeśli wśród niej jest ktoś chory. Co z innymi “nienadwyżkowymi” klientami w sklepie, którzy wejdą do niego bez aplikacji? I jeszcze ten zapis o braku przywilejów — ciekawe jak będzie działał w praktyce. Sklep pełny, pierwszy w kolejce bez aplikacji, a za nim 25 z aplikacją. Teoretycznie nie mają mieć przywilejów, czyli nie wejdą. Czy ktoś krzyknie do pierwszej osoby w kolejce “Panie, instalujże Pan!”

Już lepiej chyba zrobić jakiś centralny rejestr, w którym np. GIS co wieczór będzie publikować znaczniki czasowe i GPS-owe dotyczące osób z potwierdzoną infekcją. Plus do tego aplikację-klienta na iOS i Androida, która będzie tę bazę regularnie ściągała z serwerów GIS-u, np. raz dziennie, i lokalnie wyświetlała użytkownikowi “heatmapę” z dwóch ostatnich tygodni. Kłopotliwy bluetooth zbędny.

Wtedy każdy sam, lokalnie, czyli z zachowaniem prywatności, będzie mógł sobie sprawdzić, czy był na terenie, gdzie wykryto wirusa, a jeśli tak, to porówna znaczniki czasowe. Ze swoją pamięcią, albo — ci mniej pamiętliwi, ale bardziej techniczni — z logami lokalizacyjnymi na telefonie (tak, tak, telefony systemowo nagrywają lokalnie gdzie się znajdują ale można też prościej, odczytać to z mapy Google).

Wątpliwa zgodność z wytycznymi EROD

Na koniec wypada przypomnieć, że 21 kwietnia Europejska Rada Ochrony Danych wydała wytyczne dotyczące aplikacji lokalizacyjnych i śledzących kontakty w kontekście epidemii COVID-19. Ministerstwo Cyfryzacji w komunikacie zachęcającym do instalacji ProteGO pisze:

Bazujemy na wytycznych Europejskiej Rady Ochrony Danych Osobowych…

Tymczasem we wspomnianych wytycznych czytamy:

The EDPB generally considers that data and technology used to help fight COVID-19 should be used to empower, rather than to control, stigmatise, or repress individuals. Furthermore, while data and technology can be important tools, they have intrinsic limitations and can merely leverage the effectiveness of other public health measures.

(…)

The systematic and large scale monitoring of location and/or contacts between natural persons is a grave intrusion into their privacy. It can only be legitimised by relying on a voluntary adoption by the users for each of the respective purposes. This would imply, in particular, that individuals who decide not to or cannot use such applications should not suffer from any disadvantage at all.

(…)

The use of such an application must be strictly voluntary. It may not condition the access to any rights guaranteed by law.

Nie ma zatem mowy aby ta aplikacja była zgodna z wytycznymi EROD jeśli nie będzie “ściśle dobrowolna”.

Aktualizacja 30.04.2020 10:51

Już po publikacji naszego artykułu w nocy doszło do zamknięcia przywołanego wcześniej zgłoszenia Jarka oraz do zmiany funkcjonującego w ramach projektu kodeksu postępowania. Nie chcemy wdawać się w spory wewnątrz projektu. Odnotujemy natomiast, że Jarek wystosował dziś dwa kolejne zgłoszenia, z których jedno dotyczy możliwości de-anonimizacji danych, a drugie naruszenia wytycznych EROD poprzez planowany sposób użycia kódów QR.


Aktualizacja 30.04.2020, 13:13
Z zaleceń Ministerstwa Rozwoju opublikowanych na rządowym portalu zniknęły odwołania do aplikacji ProteGO Safe. Tu dowód na to, że jeszcze chwilę temu tam były:

Czy wrócą w innym, mniej bulwersującym kształcie? Czas pokaże. Cieszymy się, że w takim jak cytowany powyżej ich już nie ma. Ministerstwo Cyfryzacji jednak dalej utrzymuje, że są. Patrz kolejna aktualizacja:


Aktualizacja 30.04.2020, 13:16
Już po wycofaniu się (?) przez Ministerstwo Rozwoju z zaleceń dających użytkownikom ProteGO Safe więcej przywilejów niż reszcie społęczenstwa, Ministerstwo Cyfryzacji opisało tę sytuację na swoim serwisie, sugerując, że w naszym artykule napisaliśmy nieprawdę. Wypunktujemy więc to, jak Ministerstwo Cyfryzacji mija się z prawdą:

Ministerstwo: Niezależnie od tego, czy zainstalujesz aplikację ProteGO Safe czy nie, wejdziesz do sklepu i zrobisz zakupy tak jak wszyscy inni.

Nigdzie nie napisaliśmy, że osoby bez aplikacji nigdy nie wejdą do sklepu. Wyraziliśmy oburzenie, że osoby bez aplikacji będą klientami drugiej kategorii, bez przywilejów. I że do sklepu wejdą, ale później niż mogłyby, gdyby mieli aplikację zainstalowaną. Na marginesie, jest to aż w pierwszym zdaniu w artykule. A dalej w artykule można znaleźć opis sytuacji, ze względu na którą taki tytuł nadaliśmy artykułowi. I go nie zmienimy. Jak ktoś lubi czytać same tytuły i po nich wyrabiać sobie zdanie o kilkudziesięcioakapitowym artykule, to może. Ambitniejszych Czytelników zachęcamy do lektury całości komentowanych treści, wtedy — wiecie — można poznać szerszy kontekst pewnych spraw.

Ministerstwo: Nie musisz wybierać pomiędzy staniem w kolejce, a „inwigilacją”. Aplikacja nie zbiera Twoich danych, nie śledzi, korzystanie z niej jest dobrowolne, a prace nad nią w pełni transparentne

Aplikacja w obecnym kształcie zbiera dane o użytkownikachDziała w oparciu o serwer centralny, zarządzany przez Ministerstwo Cyfryzacji. To serwer nadaje użytkownikowi aplikacji identyfikator i to serwer może nagrywać adres IP użytkownika. To z kolei może prowadzić do deanonimizacji użytkownika. Dodatkowo, aplikacje zapisują nie tylko “anonimowe” identyfikatory, ale i model urządzenia (uzasadniając to chęcią lepszej kalibracji algorytmu do ustalania zakażonych).

W rozwiązaniu zaproponowanym przez Google i Apple, z którego aplikacja ProteGO Safe nie korzysta klucze generowane są lokalnie a metadane urządzenia nie są zapisywane. Dość istotna, pod katem anonimowości, różnica, prawda?

Ministerstwo: Nie będziemy dzielić klientów na lepszych i gorszych, czyli tych z i bez aplikacji. Kontrolowanie przez właścicieli sklep statusu aplikacji, lub wymaganie jej instalacji i aktywacji są zabronione.

Bardzo słuszny zakaz. Szkoda, że nie został podkreślony we wczorajszej komunikacji.

Ministerstwo: Korzystanie bądź niekorzystanie z aplikacji nie może wpływać na jakość lub kolejność obsługi klientów.

Torchę tak, a trochę nie, bo osoba czekająca na pierwszym miejscu w kolejce nie wjedzie do sklepu “pełnego”, chyba, że ma aplikację — wtedy wskakuje na uprzywilejowany status klienta nadmiarowego. Właśnie ze względu na apliakcję Protego Safe. Trochę to jednak wpływa na szybkość obsługi klientów.

Ministerstwo: Użytkownicy ProteGO Safe są anonimowi. Do tego, aby ją uruchomić nie jest wymagane jakiekolwiek uwierzytelnienie, np. podanie numeru telefonu.

Znów ministerstwo nie mówi całej prawdy. To prawda, że do uruchomienia nie jest wymagane podanie numeru telefonu, ale prawodopodobnie będzie to już wymagane, w przypadku oznaczenia się jako osoba zainfekowana — tak wynika z dyskusji developerów aplikacji na githubie.

Co więcej, każdy z użytkowników zostawi swój adres IP w logach serwera Ministerstwa Cyfryzacji pobierajac klucz dla swojego urządzenia. A teraz — jeśli faktycznie wdrożony zostanie model z kodem QR przed wejściem do sklepu lub jedną instancją aplikacji — potencjalnie będzie można również dotrzeć do informacji o (jednej z) lokalizacji użytkownika. Bo te kody QR i sklepowe instancje będą statyczne (zlokalizowane w jednym miejscu; a w przypadku kodów QR pewnie jeszcze wolniej lub w ogóle się nie zmieniające).

Aha i my wciąż czekamy na odpowiedzi Ministerstwa Cyfryzacji na nasze pytania dotyczące tej sprawy. Jeśli Ministerstwu wygodniej jest wrzucić je w kolejnego posta na stronie Ministerstwa, to nie ma problemu. Taką formę konwersacji też zaakceptujemy.

UPDATE: pytacie nas, jakie pytania zadaliśmy Ministerstwu. Żadna tajemnica, takie:

1. Czy pomysł wymuszania instalowania aplikacji był konsultowany z MC i czy Miniserstwo wyraziło na to zgodę?

2. Czy MC poinformuje na swoich stronach, że aplikacja jest niezgodna z wytycznymi EROD?

3. Czy MC ma zamiar zrogbić cokolwiek, aby przywrócić stan zgodny z wytycznymi tzn. aby aplikacja pozostała dobrowolna?

I na koniec podkreślmy jeszcze raz, że widzimy potrzebę i sens korzystania z aplikacji do tzw. contact-tracingu. Ale zaprojektowanych dobrze, dających maksimum prywatności od początku. Prywatności nie można zostawiać na “doimplementowanie potem” lub którąś z aktualizacji aplikacji. Nie tylko ze względów kosztowych. Sami z chęcią zainstalujemy aplikację, która będzie gwarantowała prywatność na tyle, na ile to możliwe, nawet jeśli — jak wszystkie takie aplikacje — nie będzie 100% skuteczna. Natomiast niezależnie od tego, nigdy nie przejdziemy obojętnie obok dzielenia społeczeństwa na lepszych i gorszych, ze względu na fakt zainstalowania lub nie jakiejś aplikacji. I to właśnie — a nie sposób implementacji jednej czy drugiej aplikacji – jest clue naszego artykułu.

Źródło:
https://niebezpiecznik.pl/post/albo-zainstalujesz-rzadowa-aplikacje-protego-safe-albo-nie-wejdziesz-do-sklepu

Comments