Il 29/05/20 10:49, Giovanni Biscuolo ha scritto:
Ciao Roberto,
non avevo ancora capito che le funzioni per il bluetooth tracing sono dentro Google Play services e quindi sono software proprietario, grazie di aver colmato questa mia ignoranza.
Grazie a te, l'ignoranza era anche la mia. Era un po' che mi domandavo quanta possibilità ci fosse di avere un'app di contact tracing funzionante su un AOSP. Il thread (e la tua menzione di LineageOS) mi ha spinto a cercare informazioni.
Il dado è tratto, dirò a tutti coloro a cui voglio bene di evitare queste App basate sulle "GApple API", Immuni in Italia, perché sono pericolose per la sicurezza dei loro dispositivi (oltre che probabilmente inefficaci per il contact tracing).
La mia personalissima opinione è che il contact tracing via app basato solo su BT LE sia sostanzialmente inutile. Non ci sono le basi: ci sono variazioni di un ordine di grandezza nell'attenuazione del segnale semplicemente cambiando la posizione del telefono, non a caso nelle specifiche Apple-Google si parla di stima del segnale e della sua attenuazione, ma non ci si azzarda a parlare di distanze (Vedi articolo segnalato in lista da Giacomo Tesio [a]). Credo che tutto quest'enfasi sulle app distragga dal fatto che in ogni caso, sia con l'app che senza, è *fondamentale* organizzare un tracciamento fatto da esperti umani, e servono migliaia di persone che devono essere formate ad hoc[b]. Sono molto preoccupato dal fatto che non mi giunga notizia di alcuna iniziativa in tal senso (spero proprio di essere io poco informato) Aggiungo qualche commento alle tue considerazione (e grazie anche dei numerosi puntatori) ...
Per quello che conta, queste di seguito sono le ultime cose che scriverò in merito, almeno fin quando TUTTO non sarà software libero.
Roberto Resoli <roberto@resolutions.it> writes:
[...]
Anch'io uso da parecchio tempo LineageOS, e fatico come te a capire. A quanto pare[1] il nesso tra BT e Geolocalizzazione è stato introdotto con Android 6
A questo punto questa cosa delle geolocalizzazione è... irrilevante.
Diciamo solo che sono contento che LineageOS non abbia questo difetto di progettazione della user interface, anche se non è questo il motivo per il quale l'ho scelta.
idem
[...]
Va da sè che su tutti queste derivazioni di AOSP
AOSP = Android Open Source Project
Giusto, grazie.
l'API di exposure notification non sarà disponibile (a meno di non installare blob binari con i play services).
Che sciocco illuso che sono: io davo per scontato che sarebbe stato TUTTO disponibile come software libero, è dall'inizio di questa vicenda che l'etichetta "Open Source" viene sbandierata ai quattro venti per far star tranquilli gli esperti preoccupati delle implicazioni per la privacy.
Già; c'è da dire che prevedere un aggiornamento del S.O. (tra l'altro su milioni di device obsoleti) sarebbe stato impossibile; molto più facile infilare tutto nei Play Services che vengono aggiornati in maniera silente, a quanto pare (formula dubitativa perchè non ho modo di controllare effettivamente).
Il progetto microG (reimplementazione libera di parte dei play services) pare non svilupperà alcunchè al riguardo, con ottime ragioni[3]
E ci mancherebbe che quei poveretti di microG si debbano sobbarcare 'sto lavoraccio. AOSP è IL luogo dove deve risiedere quel codice.
Già. Sembra che succederà, ma molto più in là, quando tutto sarà già finito, (si spera presto).
In una discussione sul progetto dell'app tedesca corona-warn-app[4]
La issue n. 5 [4] di quel progetto riporta come oggetto «Availability in F-Droid», che è cosa buona e giusta (https://f-droid.org/docs/Reproducible_Builds)
Quella discussione merita di essere letta tutta, c'è tutta l'essenza del problema: che queste App di tracciamento siano libere o meno non fa assolutamente nessuna differenza visto che per essere usate l'unico modo è usate il sistema **proprietario** "Google Play services".
Be', un po' di trasparenza è meglio di niente; lo sforzo è apprezzabile, ma imho (come dicevo sopra) è proprio l'idea dell'app ad essere sbagliata alla radice.
La sostanza delle cose è che NESSUNO sarà in grado di poter verificare, usando lo stato dell'arte degli strumenti sistemistici, se il software che funziona sul proprio dispositivo corrisponde al sorgente.
https://github.com/corona-warn-app/cwa-documentation/issues/5#issuecomment-6...:
--8<---------------cut here---------------start------------->8---
Still, the community is welcome to fork the apps and replace the Google/Apple APIs by an open implementation and distribute this app via open app stores. https://www.propublica.org/article/you-dont-need-invasive-tech-for-successfu... --8<---------------cut here---------------end--------------->8---
Eggià: SAP e Telekom fanno le brillanti mettendo le risorse per scrivere tutta la parte di INTERFACCIA utente, che è impegnativo ma è la parte più COMODA... e poi RIMBALZANO alla comunità di baldi e volenterosi poveri giovani e anziani la riscrittura come software libero del core del sistema di contact tracing: complimenti per l'attività di pubblic relations! :-)
ci sono ulteriori elementi; non è escluso che in futuro l'implementazione dell'API di exposure notification entri in AOSP, e quindi diventi ispezionabile e ricompilabile indipendentemente.
https://github.com/corona-warn-app/cwa-documentation/issues/5#issuecomment-6...
--8<---------------cut here---------------start------------->8---
Google plans to release the first version directly through an update of the Google Play Services. This ensures a quick and broad adoption among Android users. Later on, an Android OS update should become available as well.
Source: https://9to5google.com/2020/04/13/android-contact-tracing-google-play-servic...
--8<---------------cut here---------------end--------------->8---
Mi sembra comunque poco probabile.
Io non so se sia molto o poco probabile, so solo che l'aspetto FONDAMENTALE del digital contact tracing è stato PRIVATIZZATO e i governi delegano a Google e Apple il core di questa tecnologia, PROPRIETARIA.
Concordo, ma non so se si potesse fare diversamente. L'indipendenza degli Stati e della politica dai giganti tecnologici non si inventa in un paio di mesi. Ripeto (magari sono noioso) che forse sarebbe stato opportuno valutare se abbiamo veramente bisogno di questa tecnologia, a queste condizioni. In Belgio ad esempio, hanno scelto di farne a meno, e a quanto pare, di fatto anche gli U.S.[c]
Dire che Immuni (o le altre App che usano le API Apple/Google) è software libero è tecnicamente corretto ma ETICAMENTE insultante.
Cordiali saluti, Giovanni
[1] https://android.stackexchange.com/questions/160479/why-do-i-need-to-turn-on-... [2] https://9to5google.com/2020/04/13/android-contact-tracing-google-play-servic... [3] https://github.com/microg/android_packages_apps_GmsCore/issues/1057 [4] https://github.com/corona-warn-app/cwa-documentation/issues/5
[GB-1] «Android and iOS apps contain multiple vulnerabilities», 2018-08-14 https://www.kb.cert.org/vuls/id/787952/
[GB-2] «146 New Vulnerabilities All Come Preinstalled on Android Phones», 2019-11-15 https://www.wired.com/story/146-bugs-preinstalled-android-phones/
[GB-3] «Securing The System - A Deep Dive into Reversing Android Pre-Installed> ...tanto continueranno a usare Android stock ma almeno non aumenteranno a dismisura il rischio di vedere tracciati i loro contatti *anche* da chi sfrutta i bachi installati sui loro telefoni dagli OEM (i produttori) a dispetto degli sforzi di Google [GB-1] [GB-2] [GB-3] :-D
Chi usa iOS si deve AFFIDARE ad Apple e basta.
...e ovviamente dovranno tenere SEMPRE spento Bluetooth.
Il fatto che Immuni non sarà nemmeno installabile su LineageOS sarà per me un pensiero in meno... a meno che qualcuno pensi di potermi imporre[b] di installare Android stock (su un telefono ormai non più supportato dal produttore) :-O
Apps», 2019-08-08 Scheda: https://www.blackhat.com/us-19/briefings/schedule/#securing-the-system-a-dee... Presentazione: https://i.blackhat.com/USA-19/Thursday/us-19-Stone-Securing-The-System-A-Dee...
rob [a] https://medium.com/personaldata-io/inferring-distance-from-bluetooth-signal-... [b] https://www.propublica.org/article/you-dont-need-invasive-tech-for-successfu... [c] https://www.wired.com/story/health-officials-no-thanks-contact-tracing-tech