Система відстеження хворих на коронавірус від Apple, реліз якої має відбутися буквально з дня на день, ще до свого запуску викликала низку запитань. Під сумнів ставилася не тільки ефективність нової ініціативи, а й безпека користувачів, які погодяться взяти в ній участь. Зрештою, мова йде про обробку досить чутливих даних, що стосуються здоров'я і фізичного стану людей. Отже, для більшості термінів, які позначають протоколи шифрування, тут недостатньо зоряних термінів. Але допомога прийшла звідки її абсолютно не чекали.
За словами колишнього розробника Apple, який пропрацював у компанії кілька років, у Купертіно приділяють велику увагу безпеці всіх своїх систем, і це не голослівний маніфест. Одного разу, розповів він, йому довелося фіксувати, як часто програми «Погода» і «Акції» для Apple Watch запускаються у фоновому режимі і скільки разів на день передають дані в Apple. Але якщо в частоті включення додатків немає нічого цікавого, то ось обсяги даних, які вони передають, вражають тим, наскільки вони незначні.
Як Apple стежить за користувачами
Вся справа в тому, що Apple ставить перед розробниками своїх додатків дуже жорсткі вимоги:
- Збирати інформацію тільки для конкретних цілей і якщо без цього не можна обійтися;
- Збирати тільки ту інформацію, яка прописана в актуальній політиці конфіденційності;
- Не збирати більше інформації, ніж потрібно для поставлених перед компанією цілей;
- Не ідентифікувати користувачів на ім'я, прізвище або Apple ID.
Але це не все. Як виявилося, розробники навіть не мають право запускати свої програми або зміни, внесені в операційну систему, на пристроях, якщо їх не перевірять цензори. Це особливий відділ, який аналізує програмний код, написаний розробниками, на предмет помилок, недоробок або прихованих функцій. Причому останні, як правило, цікавлять їх набагато більше, оскільки таким чином розробники могли б таємно вбудувати в операційну систему або додаток бекдор, щоб почати вести стеження.
Як програми стежать за вами
Оскільки цей розробник до Apple працював і в іншій компанії, назву якої він зі зрозумілих причин відмовився розкривати, йому дійсно було з чим порівнювати. За його словами, його попередній роботодавець ставився до конфіденційності користувачів далеко не так трепетно. Додаток, який випускала та компанія, реєстрував кожну дію, а потім передавав їх на віддалений сервер. Це були координати того місця на екрані, до якого торкався користувач, кнопки, які він натискав, дані, які він вводив і багато-багато іншого на кшталт IP-адреси, моделі смартфона, регіону і навіть мовної розкладки клавіатури. Що й говорити про знеособлення, якого в принципі не було. В результаті співробітники компанії-розробника могли дізнатися про своїх клієнтів все, що тільки було потрібно.
Як працює стеження за хворими на коронавірус
- Система трекінгу не фіксує місце і час зустрічі;
- Вона не фіксує випадкових перехожих, ґрунтуючись на віддаленості співрозмовників і часу, проведеному поблизу один одного;
- Особисті дані користувачів ніяк не використовуються;
- Додатки, куди можна повідомити про діагноз, можуть бачити тільки ідентифікатор, але не ім'я або прізвище;
- Навіть якщо хтось зламає сервер з даними, він не зможе отримати значущої інформації про учасників ініціативи.
Швидше за все, все те, про що розповів розробник, правда. Зрештою, Apple ще ніколи не викривали в стеженні, яке вона не могла пояснити, не кажучи вже про торгівлю користувальницькими даними. Тому підстав сумніватися у відповідальному підході компанії до інформації про контакти і зараження COVID-19 просто немає. Однак як і раніше залишається відкритим питання ефективності обраної Apple методики відстеження заражень, яка, на мій погляд, у сформованих обставинах не принесе багато користі.