Ciao Roberto, non avevo ancora capito che le funzioni per il bluetooth tracing sono dentro Google Play services e quindi sono software proprietario, grazie di aver colmato questa mia ignoranza. Il dado è tratto, dirò a tutti coloro a cui voglio bene di evitare queste App basate sulle "GApple API", Immuni in Italia, perché sono pericolose per la sicurezza dei loro dispositivi (oltre che probabilmente inefficaci per il contact tracing). ...tanto continueranno a usare Android stock ma almeno non aumenteranno a dismisura il rischio di vedere tracciati i loro contatti *anche* da chi sfrutta i bachi installati sui loro telefoni dagli OEM (i produttori) a dispetto degli sforzi di Google [GB-1] [GB-2] [GB-3] :-D Chi usa iOS si deve AFFIDARE ad Apple e basta. ...e ovviamente dovranno tenere SEMPRE spento Bluetooth. Il fatto che Immuni non sarà nemmeno installabile su LineageOS sarà per me un pensiero in meno... a meno che qualcuno pensi di potermi imporre di installare Android stock (su un telefono ormai non più supportato dal produttore) :-O Per quello che conta, queste di seguito sono le ultime cose che scriverò in merito, almeno fin quando TUTTO non sarà software libero. Roberto Resoli <roberto@resolutions.it> writes: [...]
Anch'io uso da parecchio tempo LineageOS, e fatico come te a capire. A quanto pare[1] il nesso tra BT e Geolocalizzazione è stato introdotto con Android 6
A questo punto questa cosa delle geolocalizzazione è... irrilevante. Diciamo solo che sono contento che LineageOS non abbia questo difetto di progettazione della user interface, anche se non è questo il motivo per il quale l'ho scelta. [...]
Va da sè che su tutti queste derivazioni di AOSP
AOSP = Android Open Source Project
l'API di exposure notification non sarà disponibile (a meno di non installare blob binari con i play services).
Che sciocco illuso che sono: io davo per scontato che sarebbe stato TUTTO disponibile come software libero, è dall'inizio di questa vicenda che l'etichetta "Open Source" viene sbandierata ai quattro venti per far star tranquilli gli esperti preoccupati delle implicazioni per la privacy.
Il progetto microG (reimplementazione libera di parte dei play services) pare non svilupperà alcunchè al riguardo, con ottime ragioni[3]
E ci mancherebbe che quei poveretti di microG si debbano sobbarcare 'sto lavoraccio. AOSP è IL luogo dove deve risiedere quel codice.
In una discussione sul progetto dell'app tedesca corona-warn-app[4]
La issue n. 5 [4] di quel progetto riporta come oggetto «Availability in F-Droid», che è cosa buona e giusta (https://f-droid.org/docs/Reproducible_Builds) Quella discussione merita di essere letta tutta, c'è tutta l'essenza del problema: che queste App di tracciamento siano libere o meno non fa assolutamente nessuna differenza visto che per essere usate l'unico modo è usate il sistema **proprietario** "Google Play services". La sostanza delle cose è che NESSUNO sarà in grado di poter verificare, usando lo stato dell'arte degli strumenti sistemistici, se il software che funziona sul proprio dispositivo corrisponde al sorgente. https://github.com/corona-warn-app/cwa-documentation/issues/5#issuecomment-6...: --8<---------------cut here---------------start------------->8--- Still, the community is welcome to fork the apps and replace the Google/Apple APIs by an open implementation and distribute this app via open app stores. --8<---------------cut here---------------end--------------->8--- Eggià: SAP e Telekom fanno le brillanti mettendo le risorse per scrivere tutta la parte di INTERFACCIA utente, che è impegnativo ma è la parte più COMODA... e poi RIMBALZANO alla comunità di baldi e volenterosi poveri giovani e anziani la riscrittura come software libero del core del sistema di contact tracing: complimenti per l'attività di pubblic relations! :-)
ci sono ulteriori elementi; non è escluso che in futuro l'implementazione dell'API di exposure notification entri in AOSP, e quindi diventi ispezionabile e ricompilabile indipendentemente.
https://github.com/corona-warn-app/cwa-documentation/issues/5#issuecomment-6... --8<---------------cut here---------------start------------->8--- Google plans to release the first version directly through an update of the Google Play Services. This ensures a quick and broad adoption among Android users. Later on, an Android OS update should become available as well. Source: https://9to5google.com/2020/04/13/android-contact-tracing-google-play-servic... --8<---------------cut here---------------end--------------->8---
Mi sembra comunque poco probabile.
Io non so se sia molto o poco probabile, so solo che l'aspetto FONDAMENTALE del digital contact tracing è stato PRIVATIZZATO e i governi delegano a Google e Apple il core di questa tecnologia, PROPRIETARIA. Dire che Immuni (o le altre App che usano le API Apple/Google) è software libero è tecnicamente corretto ma ETICAMENTE insultante. Cordiali saluti, Giovanni
[1] https://android.stackexchange.com/questions/160479/why-do-i-need-to-turn-on-... [2] https://9to5google.com/2020/04/13/android-contact-tracing-google-play-servic... [3] https://github.com/microg/android_packages_apps_GmsCore/issues/1057 [4] https://github.com/corona-warn-app/cwa-documentation/issues/5
[GB-1] «Android and iOS apps contain multiple vulnerabilities», 2018-08-14 https://www.kb.cert.org/vuls/id/787952/ [GB-2] «146 New Vulnerabilities All Come Preinstalled on Android Phones», 2019-11-15 https://www.wired.com/story/146-bugs-preinstalled-android-phones/ [GB-3] «Securing The System - A Deep Dive into Reversing Android Pre-Installed Apps», 2019-08-08 Scheda: https://www.blackhat.com/us-19/briefings/schedule/#securing-the-system-a-dee... Presentazione: https://i.blackhat.com/USA-19/Thursday/us-19-Stone-Securing-The-System-A-Dee... -- Giovanni Biscuolo