Simon's Blog

Riċerka rigward Covid Alert Malta

October 25, 2020

This article is also available in English.

Introduzzjoni

Qiegħed nikteb dan l-artiku ftit iktar minn seba’ xhur wara li l-pandemija tan-Novel Coronavirus waslet f’Malta. Hemm ħafna aspetti tal-pandemija li nixtieq naqsam ħsiebi fuqhom, speċjalment rigward il-veritajiet li kixfet dwarna bħala umani u anke bħala nazzjon, f’sens soċjo-ekonomiku u anke politiku, iżda għal dan l-artiklu ser nżomm ma dak li naf u nifhem l-iktar fih: it-teknoloġija.

Contact tracing f’dawn iż-żminijiet

Il-Gvern Malti ħareg app tal-mowbajls għal-Contact tracing. Din hija application li tikkuntattja mowbajls oħrajn fil-viċinanzi sabiex tgħin fil-mekanżimi tal-contact tracing.

L-ideja hija li, jekk inti kellek kuntatt ma xi ħadd li ġie pożittiv għall-Covid-19, il-proċess sabiex inti tiġi infurmat ssir ħafna ehfef u iktar malajr, ħabba li l-mowbajl tiegħek żamm kont tal-fatt li inti kont fil-viċinanzi ta’ każ pożittiv.

L-ikbar problema għal sistema ta’ dan it-tip dejjem ħa tkun:

Kif tista tippreżerva l-privatezza ta’ individwu filwaqt li żżomm kont tagħhom u tal-kuntatti kollha tagħhom?

L-awtorita’ teknoloġika tal-Gvern il-MITA tisħaq li l-app giet żviluppata mal-linji gwida tal-GDPR u li saret verifika tagħha mill-Awtorita’ tal-Innovazzjoni Diġitali ta’ Malta, l-MDIA.

Sfornutatament nuqqas ta’ trasparenza hija komuni f’xogħol Malti - ġieli huwa diffiċli li tirċievi risposta fuq b’liema mod u sa liema livell sar dan ix-xogħol.

F’azzjoni rari, il-MITA għazlu li l-app ssir open-source. Din hija azzjoni kuraġġjuża u hija l-ahjar metodu li biha l-MITA jistgħu jżidu fiduċja fis-sistema.

Litteralment qegħdin juru li mgħandhom xejn x’jaħbu rigward kif taħdem l-app. Din tippermetti sabiex anke l-iktar nies xettiċi jistgħu jagħmlu riċerka tagħhom u jivverifikaw li s-sistema filfatt tippreserva il-privatezza u li hija għodda tajba sabiex tgħin il-pajjiż ġġib il-pandemija taht kontroll iktar malajr.

Iż-żwieg bejn il-privatezza u Contact tracing

Il-Contact tracing jinħass donnu jaħdem kontra l-privatezza nnifisha. Jikkuntatjak xi ħadd li ma tafx, dwar xiħaga li ma tistax tara b’għajnejk u trid taqsam magħhom fejn kont dan l-aħħar u ma min kont f’kemm tiflaħ dettall.

Il-Contact tracing huwa importanti ħafna sabiex titwaqqaf pandemija, allura akkost ta’ kemm forsi li tmur kontra il-kunċett tal-privatezza, nagħmluha xorta ħalli forsi nħallu din il-pandemija warajna ħarira iktar malajr,

Meta tahseb ftit iktar fuqha, l-ħin u l-post fejn kellek kuntatt ma xi ħadd mhumiex importanti daqs ma min kont f’kuntatt (skont parametri bħad-distanza bejnietkom, kemm domtu ħdejn xulxin u jekk kontux libsin maskra). Ma jkunx ahjar kieku stajna naqsmu din l-informazzjoni mingħajr ma nidħlu f’dettallji dwar fejn u meta?. Bonus jekk tista tinkludi nies li inti qas tafhom personalment.

Problema oħra hija li l-memorja tagħna l-umani ma tantx hija robusta jew b’saħħitha. Ninsew dettalji, nħawdu l-ordni ta’ kif ġraw l-affarijiet jew mingħalina li xihaġa damet inqas jew iktar milli verament damet. Dik il-parlata li qbadt mal-ġirien għand il-grocer? Mingħalik li domt ħames minuti titkellem imma fil-verita’ domt għoxrin minuta. Ma jkunx aħjar kieku stajna niftakru d-dettalji ta’ dawn il-ġrajjiet b’ preċiżjoni assoluta?

Grazzi għal-kollaborazzjoni bejn imħuħ intelliġenti li jaħdmu ma Apple u Google, ammont kbir mill-mowbajls moderni (dawk li għandhom sapport għal Bluetooth Low Energy (BLE) u li għandhom Android 6 “Marhsmallow” jew ogħla jew iOS 13.5 jew ogħla) issa għandhom sistema ta’ Privacy Preserving Contact tracing mibnijja diretta fl-Operating System tagħhom.

Dan l-Artiklu

Dan l-artiklu jiffoka fuq l-implementazzjoni speċifika tal-app li żviluppaw l-MITA li taqbad mas-sitema tal-Apple-Google Privacy-Preserving Contact tracing, minflok is-sistema tal-PPCT innifisha. L-għan huwa li nesplora u nivverifika d-dikjarazzjoni li din l-app ma tiġbor l-ebda tip ta’ data dwar il-location tal-individwu li qiegħed jużahha.

Ser nimxi b’metodu sempliċi ta Mistoqsija u Risposta minflok nirrispondi sett mistoqsijiet fl-aħħar.

Covid Alert Malta

Aħjar nibda b’spjegazzjoni ta’ xinhu open-source.

Software li huwa open-source huwa software fejn il-code tal-programm jista jinqara u jiġi kkompilat, filwaqt li closed-source ma jħallikx taqra l-code tal-programm u min qiegħed jużaħ jista biss juża s-software fil-forma diġa kkompilata (bhal Microsoft Word) jew bħala servizz (bħal Google Maps).

B’open-source software (ġieli mqassar bħala OSS), nistgħu nivverifikaw l-imġieba tal-programm jew billi nħaddmu l-programm jew billi naqraw s-source code, minħabba li jista jkun li jkun hemm imġieba li qiegħda ssir wara l-kwinti imma li mhiex tidher. F’closed-source, nistgħu biss nosservaw l-imġieba tal-programm billi nħaddmuh, u rridu noqogħdu fuq x’jingħad lilna sabiex nkunu nafu x’jagħmel (jew ma jagħmilx) meta nħaddmuħ.

Kieku kelli noffri analoġija, kejk taċ-ċikkulata li huwa closed-source huwa mit-tip li tixtri lest u li tista tġawdi mill-ewwel. Jidher sabiħ u għandu togħma tajba, imma mgħandek l-ebda ideja fuq kif, fejn, meta u b’liema ingredjenti ssajjar. Il-furnar jista jassigurak li l-kejk mgħandux gluten, huwa “vegan” jew ssajjar f’ambjent li huwa “nut free”, imma l-uniku assigurazzjoni li għandek tal-verita hija fil-kelma tal-furnar.

Kejk li huwa open-source jigi bir-riċetta inkluża, b’lista speċifika ħafna tal-ingredjenti, l-ammonti tagħhom, is-sors tagħhom u l-proċess tat-tisjir. Nistgħu nosservaw jew nieklu l-kejk filwaqt li ma nagħtux każ tar-riċetta, imma wkoll nistgħu nuzaw ir-riċetta sabiex nsajru verzjoni tagħna tal-kejk, jew sabiex nbiddlu parti minnu għal xihaġa li nippreferu iktar (per ezepmju, nagħmlu ġamm flok frosting taċ-ċikkulata) jew sabiex naraw jekk nispiċċawx bl-istess kejk ezatt li kien diġa misjur u mogħti lilna jekk insegwu l-istruzzjonijiet.

F’dan il-każ, l-app ta’ Covid Alert Malta, kemm tal-Andriod u anke tal-iOS, flimkien mas-server li tieħu hsieb tinnotifika l-kuntatti pożittivi, huma forks (l-ekwivalenti ta’ remix fis-software) ta’ apps oħrajn tal-Contact tracing li huma open-source, speċifikament is-SwissCovid App.

Mistoqsija

Iġifieri l-MITA serqet l-app SwissCovid u għamlitha daqs li kieku tagħha?

Risposta

Lanqas xejn. Il-liċenzja tal-open-source li taħtha saret l-app SwissCovid tippermetti modifikazzjonijiet u anke tqassim (nikteb f’iktar dettall fuq dan iktar tard fl-artiklu).

Mistoqsija

Għalfejn l-MITA ma kitbux app mill-ġdid?

Risposta

Jiena ma nitkellimx għal-MITA, allura ma nistax nirrispondi f’isimhom, imma nista nispekula.

Qabel ma tikteb kwalunkwe software, wieħed għandu jagħmel evalwazzjoni fuq il-fiżabilita’ tagħha, kemm f’termini finanzjarji u anke ta’ ħin. Il-kitba ta’ app tal-Contact Tracing mill-bidu nett hija possibbli, imma l-ammont ta’ investiment ta’ ħin u għarfien li hemm bzonn huwa għoli ħafna. Fil-każ ta’ pandemija l-ħin huwa ta’ importanza kbira allura kwalunkwe soluzzjoni li tinvolvi investiment għoli ta’ ħin ma tibqax soluzzjoni tajba.

Jkun iktar vijabbli kieku ssib implementazzjoni eżistenti u taddattahha għall-bżonnijiet tiegħek speċifiċi. Wahda mill-idejat prinċipali wara open-source hija li wieħed jevita xogħol doppju. Code jista jigi mqassam f’spirtu ta’ kollaborazzjoni fejn kulħadd jibbenefika u nevitaw li nerggħu nivvintaw ir-rota mill-bidu kull darba.

Mistoqsija

Il-MITA obbligati li jqassmu s-source code?

Risposta

Iva. (Kważi) kull open-source code tiġi b’liċenzja li tispeċifika id-dmirijiet ta’ individwu jew organiżazzjoni meta jagħmlu użu mill-code. F’dan il-każ, l-app SwissCovid app hija liċenzjata taħt il-Mozilla Public Licence 2.0. Nikkwota dirett mill-FAQ tagħhom (bl-ingliż):

Q9: I want to distribute (outside my organization) MPL-licensed source code that I have modified. What do I have to do?

To see the complete set of requirements, read the license. However, generally:

You must inform the recipients that the source code is made available to them under the terms of the MPL (Section 3.1), inċluding any Modifiċations (as defined in Section 1.10) that you have created.

You must make the grants described in Section 2 of the license.

You must respect the restriċtions on removing or altering notiċes in the source code (Section 3.4).

Mistoqsija

App li hija open-source hija inqas sigura?

Risposta

Is-sigurta’ ta’ kull tip ta’ software mhiex marbuta ma jekk hijex open-source jew le, imma hija marbuta mal-kwalita’ tas-software innifsu.

Meta xi ħadd jikteb software li muhiex sigur u jagħzel li ma jiżvelax is-source code, hija l-ekwivalenti ta’ li ssajjar kejk imma tagħżel li ma tiżvelax jekk fihx gluten jew le. Irrispettivament ta’ jekk tiżvelax jew le, l-ammont ta’ gluten ma jinbidilx u jista jwassal xorta għal-ħsara fis-saħħa ta’ min jiekol il-kejk jekk min qiegħed jieklu huwa intolleranti għal-gluten, jew huwa coeliac.

Li tagħzel li ma tizvelax source code fuq bazi ta’ sigurta’ huwa metodu magħruf bħala sigurta’ permezz tal-oskurita’, li huwa metodu skoraġġat minn kwalunke persuna professjonali li taħdem fis-setturi ta’ Software, Sigurta’, jew l-Informatika.

Mistoqsija

Din l-app mhux ġiet ċertifikata mill-MDIA?

Risposta

Wieħed jispera li software bħal Covid Alert Malta, fejn f’dinja idejali hija installata fuq kull mowbajl li hawn fil-pajjiz, tkun għaddiet minn proċess rigoruż ta’ inspezzjoni u verifikazzjoni.

S’issa l-MDIA assigurat li l-app għaddiet mill-proċess ta’ ċertifikażzjoni tagħhom, iżda dan il-proċess muhiex publikku jew trasparenti. Fidi għamja f’instituzzjoni għandha tkun evitata’ minħabba li hija magħmula mill-umani. Jiena ninkoraġġi lill-MDIA sabiex jaqsmu kif u sa liema livell sar dan iċ-ċertifikażzjoni għax dan jżid iktar il-fidi fis-sistema, li għandha twassal għall-aktar nies jinstallaw l-app.

Irrispettivament ta’ dan, il-fatt li l-app hija open-source tħalli lil kulħadd jagħmel verifika tagħha. Irrispettivament ta’ kemm għandek fidi f’kwalunkwe instituzzjoni, kemm jekk inti inqas jew iktar pedantiku mill-instituzzjoni, il-fatt li s-source code huwa pubbliku u tista ssir riċerka fuqu ttik l-opportunita’ sabiex tagħti l-approvazzjoni tiegħek personali.

Is-source code

Il-kompetenza u l-esperjenza tiegħi tinsab l-iktar fl-apps li huma cross platform. Jiena ma niktibx apps f’lingwi speċifiċi ta’ pjattaformi (bhal Java, Kotlin, Objective C jew Swift), iżda għandi espejenza nikteb Java u esperjenza fl-apps in ġenerali u nikkunsidra din l-esperjenza biżżejjed sabiex nagħmel din ir-riċerka.

Is-source code tal-app Covid Alert Malta tinstab f’dan il-link: https://github.com/GOVMT-MITA/dp3t-app-android-ch

Minħabba li hija fork, nistgħu nikkomparaw id-differenzi bejn ir-repositorju oriġinali u dak tal-MITA. Din id-diff, qasir għal differenza, hija lista ġġenerata awtomatikament.

Minn ħarsa ta’ malajr, jidher li l-uniku żieda fl-app mill-MITA kienet l-għażla tal-lingwa meta tużaħħa l-ewwel darba u l-lokaliżżazzjoni minhabba l-lingwa Maltijja. Ma jidher li ma hemm l-ebda differenza fl-imġieba tal-app minn dak provdut minn SwissCovid.

Mistoqsija

L-App tibqa tinsisti li nixgħel is-setting tal-location. Kulħadd jinsisti li l-app ma żżommx kont tal-location tiegħi. Għala hemm din id-diskrepanza? Xi ħadd qiegħed jigdeb?

Risposta

Din id-diskrepanza hija problema sfortunata tal-Esperjenza Umana (jew User Experience / UX bl-ingliż) tas-sistema tal-Android. Tidher biċ-ċar fl-iscreenshot ta’ hawn taħt:

Permessi tal-location

L-ewwelnett, nistgħu nikkonfermaw jekk l-app għandhiex aċċess għad-data tal-location, kemm jekk hux bil-Wi-Fi (magħruf bħala Coarse Location) jew bil-GPS (magħruf bħala Fine Location).

Developer jrid jiddikjara minn qabel xinhuma l-permessi li l-app għandha bżonn sabiex taħdem. F’Android, dawn jinasbu f’file jismu AndroidManifest.xml. F’dan il-każ, nistgħu nsibuħ hawnhekk.

Il-permessi li nsibu huma:

  • <uses-permission android:name="android.permission.BLUETOOTH" />
  • <uses-permission android:name="android.permission.INTERNET" />

Kieku l-app riedet tkun taf l-location tiegħek, konna naraw dawn il-permessi minflok, kif nsibu miktub fid-dokumentazzjoni ta’ Android Developers:

<uses-permission android:name="android.permission.ACCESS_COARSE_location" />
<uses-permission android:name="android.permission.ACCESS_FINE_location" />
<uses-permission android:name="android.permission.ACCESS_BAċKGROUND_location" />

Ċar daqs il-kristall: Covid Alert Malta mihiex kapaċi tkun taf fejn inti. Mhux direttament għallinqas.

Mistoqsija

Mela għaliex l-app għandha bzonn is-setting tal-location mixgħula biex taħdem?

Risposta

Insa Covid Alert Malta għal mument. Informazzjoni ta’ location tista tiġi esposta jekk Bluetooth huwa mixgħul.

Jekk Bluetooth huwa mixgħul, mela l-mowbajl ħa jkun kapaċi kemm jitrasmetti u anke jirċievi data fuq BT. Apparat differenti huwa kapaċi jsib lil xulxin jekk wieħed minnhom huwa ssetjat biex jkun discoverable. Dan huwa l-proċess li jintuża meta tissetja apparat b’kapaċita tal-BT (bħal wireless headset) f’pairable mode. Il-headset jkun qiegħed jgħajjat lil-apparat kollu fil-viċinanza li huwa kapaċi jigi paired u inti tuża l-mowbajl tiegħek sabiex tagħmel pair miegħu, u b’hekk jistgħu jqassmu data ma xulxin, li f’dan il-każ jkun sabiex tisma l-mużika.

Wieħed mill-modi li apparat jista jagħraf apparat ieħor huwa mill-MAC Address tiegħu. Dan qisu l-indirizz tad-dar. Jiena nagħraf id-dar ta’ siehbi Ċikku għax naf li Ċikku jgħix f’numru 24 fi Triq il-Kbira. Bl-istess mod, il-mowbajl tiegħek jagħraf apparat ieħor li jkollu indirizz fil-forma ta’ kelma hekk: D9:79:D4:9C:C9:1C.

Jekk l-mowbajl tiegħek qiegħed jaqsam dan l-indirizz ma kull apparat ieħor fil-viċinanza, mela l-apparat jista juża dan sabiex jagħmel korrelazzjoni bejn l-MAC Address u l-persuna preżenti. Tipikament, dan jsir b’apparat msejjaħ BLE Beacon f’proċess bħal dan:

  1. Sid ta’ ristorant jixtieq jżomm kont ta’ kemm hemm nies fir-ristorant
  2. Is-sid jixtri BLE Beacon u jwaħħalha fuq s-suffitt
  3. Inti tmur regolari fir-ristorant - kull nhar ta’ Ġimgħa wara x-xogħol għal-happy hour.
  4. Il-mowbajl tiegħek qed jgħajjat il-MAC Address tiegħu lil kull apparat ieħor fil-viċinanza
  5. Il-BLE Beacon tieħu nota tal-MAC Address tal-mowbajl tiegħek
  6. Is-sid issa jaf li hemm persuna tiġi kull nhar ta’gimgħa, ħabba li dejjem jara l-istess MAC Address darba fil-ġimgħa fl-istess ħin.

Dan ifisser li s-sid jaf min inti, l-indirizz tad-dar tiegħek, in-numru tal-karta tal-identita’, eċċ? Le, qas xejn.

Dan ifisser li s-sid jaf ta’ min hu l-mowbajl b’dak il-MAC Address? Iva, forsi. Forsi qegħdin jaraw s-CCTV biex jaraw min jidħol mill-bieb meta dik il-MAC Address jiġi rreġistrat mill-BLE Beacon. Din magħrufa bħala attakk tal-korrelazzjoni.

Dan li ridt infisser meta semmejt li l-location tista tiġi esposta. Ma jfissirx illi li jkollok l-BT mixgħul ħa jqassam l-indirizz tad-dar tiegħek, imma tipprovdi biċċa informazzjoni zgħira, li permezz tagħha, jekk xi ħadd lest li jagħmel biżżejjed xogħol biex jiġbor iżjed biċċiet informazzjoni bħal din, jaf jkunu kapaċi jsiru jafu min hu jew hi s-sid tal-mowbajl.

Ifhem din: l-istess jsir bil-Wi-Fi. Il-mowbajl tiegħek qiegħed jagħmel riklam tiegħu nnfisu lil routers fil-viċinanzi (proċess msemmi probing), li fil-proċess jizvela il-MAC Address tiegħu, li jekk xi ħadd jzomm kont tiegħu, jaf jikkawza espożizzjoni tad-data tal-location.

Covid Alert Malta mhiex il-kawża ta’ din l-espożizzjoni, imma din hija r-raġuni li location services trid tkun mixgħula sabiex taħdem l-app, anke jekk Covid Alert Malta muhiex l-app li qiegħed jikkawza din l-espożizzjoni.

Konklużjoni

Jiena tal-parir li wieħed għandu jinstalla Covid Alert Malta għal-dawn ir-raġunijiet:

  1. Is-source code hija pubblika għal kull min jixtieq jagħmel riċerka fuqha
  2. Ma tagħmel l-ebda użu mill-GPS jew minn data tal-location tiegħek
  3. Tgħin sabiex tħaffef il-proċess ta’ Contact Tracing li qiegħed jgħin sabiex tiġi kkontrollata l-pandemija tal-Covid-19
  4. Hemm ħafna apps oħrajn li qegħdin jieħdu d-data tal-location tiegħek f’modijiet iktar ovji, bhal Facebook, TikTok, Google Maps, Revolut, eċċ. Li tkun ikkonċernat fuq Covid Alert Malta imma mbagħad ma tkunx ikkonċernat fuq dawn l-apps l-ohrajn li huma diga insallati turi nuqqas ta’ fehma fuq kemm issir frekwenti dan it-teħid tad-data.

Hemm problema ohra meta tuża l-Bluetooth il-ħin kollu li mgħandhiex x’taqsam ma sigurta’: il-fatt li jista jwaqqa l-batterija iktar malajr. Jiena naħseb li dan huwa prezz zgħir biex inħallsu għal din l-opportunita ghal rapid contact tracing li jżomm il-privatezza tal-individwu, speċjalment meta daż-żminijiet jeżistu battery packs jew quick charging.

Inti tista tniżżel Covid Alert Malta minn hawnhekk:

Grazzi kbira lil-mara tiegħi Rachel tal-paċenzja li ħadet filwaqt ċċekjat dan l-artiklu.

Written by Simon who lives in Malta. You can find out more about me on the about page, or get in contact.