Hlavní navigace

Jak na iPhonech funguje trasování nákazy koronavirem (COVID-19 Exposure Tracing)?

 Autor: Apple
API od Applu a Googlu bylo spuštěno a je dostupné v posledním iOSu. Jak to celé funguje a co to může znamenat pro „chytrou“ karanténu a eRoušku?
Daniel Dočekal 21. 5. 2020
Doba čtení: 7 minut

Sdílet

21:30 – článek jsme aktualizovali o vyjádření tvůrců české aplikace eRouška

Čerstvý iOS 13.5 přinesl na iPhone avizované Exposure Notification API vyvinuté ve spolupráci Applu a Googlu a použitelné pro bezpečné trasování rizika nakažení koronavirem (COVID-19). 

Celé to funguje prostřednictvím Bluetooth a tím pádem bez tak vysoké míry chybovosti, jako například trasování používané v rámci české Chytré karantény (ta využívá geolokaci z BTS věží operátorů a není schopna určit polohu skutečně přesně), a navíc jasně umožňuje poznat dostatečné dlouhé (10 minut) setkání s nakaženou osobou v dostatečné blízkosti, aby zde bylo riziko nakažení. Jde o obdobný způsob, který používá česká aplikace eRouška.

Vysílání a příjem identifikátorů

Technicky je založen na tom, že telefon s povoleným trasováním a instalovanou trasovací aplikací (v jednotlivých zemích bude schválena pouze jedna taková aplikace) v pravidelných intervalech vysílá přes Bluetooth signál obsahující náhodný identifikátor (řetězec náhodných čísel), který není spojitelný s osobními údaji ani neumožňuje identifikovat konkrétního uživatele. Tato vysílaná čísla jsou navíc zhruba co 10 až 20 minut generována znovu, pro vyšší ochranu soukromí.

Jiné telefony, které se nacházejí v dosahu, mohou tento signál (říká se mu též beacon/maják) zachytit a uložit si ho do paměti telefonu. Vysílaný beacon se samozřejmě ukládá také ve vysílajícím telefonu. Identifikátory se k nikomu (ani k Applu či Googlu) nedostávají, zůstávají v telefonech.

V okamžiku, kdy někdo onemocní infekcí COVID-19, sdělí tuto skutečnost aplikaci a ta předá Apple/Google API informaci o nakaženém jedinci – čísla do této doby uložená v telefonu se pak dostanou do databáze u Applu/Googlu. Předávají se stále bez jakékoliv identifikace konkrétního člověka (byť ta teoreticky možná je), stejně jako bez polohových informací či čehokoliv dalšího.

Jednou denně si telefony s aktivní aplikací a povoleným trasováním stáhnou všechna čísla beaconů nakažených a porovnají to s čísly uloženými v telefonu. Pokud se najde shoda, vyrozumí aplikace uživatele o tom, že byl v kontaktu s nakaženým. Nemůže mu ale říci ani kdo to byl, ani kde ke kontaktu došlo. Dozví se jen čas (datum a čas), kdy to bylo. Může ale využít informací ve vlastním telefonu k zjištění, kde v té době byl.

Pak už je na příjemci této informace, aby kontaktoval lékaře a domluvil se na dalším postupu – tedy nejlépe testu na koronavirus. Pokud se i jemu nákaza potvrdí, tak by to opět měl v aplikaci oznámit a tím umožnit, aby upozornění dostali další možní nakažení. A samozřejmě by měl nastoupit do karantény.

Kde a jak trasování zapnout a vypnout

V iPhonech (po aktualizaci na iOS 13.5) najdete zapnutí a vypnutí nové funkce v Nastavení/Settings −> Soukromí/Privacy −> Zdraví/Health −> COVID-19 Exposure Logging. V Česku tam ale nic povolit nemůžete, je zde pouze informace o tom, že v našem regionu není funkce dostupná.

Aby dostupná byla, museli byste si nejdříve pořídit trasovací aplikaci (tu jedinou, kterou Apple pro Česko schválí) a v její rámci si trasování zapnout. V další verzi by se kompletní trasování i upozorňování mělo stát přímo součástí operačního systému (iOS i Androidu).

Podobným způsobem by se API mělo objevit i v Androidu, ale tam bude situace komplikovanější kvůli množství výrobců, kteří si s aktualizacemi Androidu nedělají příliš starosti, a také množstvím starých přístrojů, na kterých trasování nebude fungovat (třeba i proto, že nemají Bluetooth LE, na kterém je postavené).

API může být řešením i pro eRoušku

Právě zabudování přímo na úroveň operačního systému vyřeší problém, na který v iOS narazila například česká eRouška. Apple totiž neumožňuje (a ani neumožní) žádným aplikacím nepřetržitě na pozadí využívat Bluetooth pro účely sledování.

Pro eRoušku a další podobné aplikace to znamená buď přímo zamítnutí aplikace jako takové, nebo zásadní omezení funkčnosti – tedy nutnost, aby uživatel aplikaci udržoval aktivní na displeji / v popředí a navíc čas od času telefon otevřel a aplikaci znovu „oživil“. 

Android sice podobné omezení nemá, ale i v tomto systému narazíte na další praktické omezení společné pro obě platformy: klasické využití Bluetooth (ale i GPS) pro dlouhodobé trvalé sledování má zásadní dopad na výdrž baterie.

Pro eRoušku ale může novinka znamenat vyřešení problémů v iOS – bude stačit, když se stane oficiální českou aplikací pro fungování nad právě zprovozněným API.

Tvůrci eRoušky: s Applem i Googlem jednáme

Česká eRouška má momentálně 150 tisíc aktivních uživatelů na Androidu a 33 tisíc stažení na iOS. Tvůrci aplikace z iniciativy COVID19CZ už přístup k API Applu mají, potvrdila Lupě mluvčí uskupení Irena Zatloukalová

„Obě firmy potvrdily, že budou svoje API poskytovat oficiální aplikaci ‚zdravotnické úřady‘, což je v Česku ministerstvo zdravotnictví (MZ). To je oficiálním vydavatelem aplikace a taky jsme už společně o přístup k API požádali. Apple už nám přístup ke svému API udělil, Google ještě nikoliv, ale předpokládáme, že to je jenom procesní zdržení, nikoliv to, že by k udělení jejich API nemělo pro eRoušku dojít.“


„Pokud jde o to, kdy by mělo k implementaci a přechodu na Google/Apple API přejít, je to za nás hlavně otázka, kdy to bude dávat smysl. Jinými slovy velice intenzivní roli v rozhodování hraje penetrace nové verze mobilního OS. Po přechodu na tento protokol totiž eRouška, která jej bude používat, nebude kompatibilní s jiným než nejnovějším OS u iOS zařízení a na Androidech, které podporují Google Play Services (verze 6+). Zatím totiž není jasné, jestli nás nechají ve stejné aplikaci mít i code-base pro starší operační systémy. Takže svoji roli v rozhodování hraje i to, jak rychle se aktualizace OS dostanou k uživatelům.“

„Zkráceně řečeno: podle nás nejde přejít na nový protokol, dokud nebude mít nová verze OS (myšleno u iOS) dostatečný podíl mezi telefony. I proto čekáme také na rozhodnutí MZ ČR a evropských zemí, jak chtějí interoperabilitu jednotlivých národních aplikací podpořit/zařídit. Pokud se ale MZ rozhodne, že chce Google/Apple API pro eRoušku používat, tak bychom ho nasadili pro iOS i Android (kvůli zachování interoperability by nemělo smysl ho používat jen na jedné platformě).“

Nedostatky tohoto způsobu trasování

Jako u každé snahy o trasování nakažených koronavirem je zde první zásadní zádrhel v tom, že je nutné dosáhnout vysoké penetrace v populaci, aby to vůbec fungovalo. Aplikace tady budou narážet na jedince bez telefonů, jedince s vybitými telefony, nezapnutým trasováním, záměrně vypnutým trasováním či vypnutým Bluetooth. Aktuálně také na nutnost instalovat konkrétní státem posvěcenou aplikaci, u které se někteří lidé budou obávat o soukromí.

Další problém bude vyvolávat i to, že vysílání a příjem beaconů se neděje neustále, ale v nějakém časovém intervalu, takže bude velmi snadné se minout a k záznamu beaconu nedojde. Opravdu kontinuální sledování není dost dobře možné s ohledem na výdrž baterie, proto je nutné volit kompromis.

Systém je navíc založený nejenom na dobrovolné instalaci aplikací (a zapnutí trasování), ale i na dobrovolném nahlášení toho, že se uživatel nakazil. To může být také zásadní problém, navíc ve spojení s tím, že je potřeba nákazu nahlásit co nejdříve. Pokud se nemocný nahlásí příliš pozdě, nejenže se zásadně zvyšuje riziko dalšího šíření infekce, ale také může dojít ke ztrátě klíčů. Ty totiž v telefonu zůstávají uložené pouze po určitou dobu (několik týdnů, což by ale mohlo dostačovat).

Nedořešena zůstává i otázka, jakým způsobem řešit setkání lidí s COVID-19 aplikacemi z různých zemí.

Problém mohou vyvolat i falešná oznámení nebo chybné výsledky testů, na jejichž základě se uživatel nahlásí jako nakažený. Je to okrajová možnost, ale je nutné ji brát také v potaz.

Decentralizované řešení je nejlepší

I přes uvedené problémy je ale tento způsob trasování zcela určitě prospěšnou možností a s ohledem na ochranu soukromí je podstatně ohleduplnější než další způsoby – ať už je řeč o „chytré“ karanténě (zásah do soukromí v podobě údajů od operátorů a údajů od bank o tom, kde člověk platí), eRoušce (identifikátory se dají centrálně provázat s telefonním číslem) nebo sledování v Mapy.cz (ještě zásadnější zásah do soukromí v podobě tvrdých geolokačních informací).

MIF mobilni aplikace

Značná část ochrany soukromí je v tomto případě dána absencí centralizovaného párování informací o nakažených. V tomto případě se párování odehrává až v telefonech a Google, Apple ani provozovatel dané aplikace nemají k ničemu přístup (decentralizované řešení). Do doby, než bude vše zabudováno přímo do operačního systému, je zde stále potenciální riziko v tom, že ona konkrétní aplikace bude dělat něco víc, než by měla, ale to se dá relativně snadno ohlídat. 

Decentralizovaný přístup je bezpečnější i s ohledem na případný únik dat či hackery – nemají možnost se dostat k žádným konkrétním datům ani k většímu množství identifikovatelných údajů.