Buongiorno Giuseppe, la soluzione AIxIA che avete proposto è descritta in qualche documento ufficiale e pubblicato? Giuseppe Attardi <attardi@di.unipi.it> writes: [...]
Con la nostra proposta non c`è bisogno di caricare nessuna app: è sufficiente un qualunque dispositivo dotato di bluetooth.
Quindi l'UUID verrebbe memorizzato (in forma crittografata) non sul dispositivo di un altro utente col quale abbiamo avuto prossimità ma su uno o più server cetralizzati (il *cloud*), giusto? Se l'UUID fosse fisso allora anche un RFID svolgerebbe egregiamente il suo compito, progettato appositamente per il location tracking :-)
Ad esempio un braccialetto fitness da 20€ può bastare.
Riprogrammabile? Avete già pubblicato un proof-of-concept del software? Pensate di riutilizzare il software del progetto https://github.com/covid19risk? Pensate di utlizzare smart-watch già in commercio con Android/iOS con sistema operativo "vendor provided" o uno ancora da commercializzare (o regalare) e con sistema operativo libero da blob proprietari? Oppure uno può acquistare un braccialetto a caso e utilizzarlo col software standard, tanto l'UUID corrisponde al MAC address del dispositivo (48-bit)?
La nostra proposta prevede che le app di raccolta della posizione sia dispiegate nei locali pubblici, nei negozi, esponendo un cartello che ne dichiara la presenza.
E a chi fosse sprovvisto del braccialetto identificativo cosa facciamo? Non lo facciamo entrare perché potrebbe essere contagioso e non collabora? E quando poi l'emergenza sarà finita, cosa potrò dire io a coloro che mi vieteranno di entrare in un locale perché sprovvisto di apposito braccialetto identificativo? Perché questo è il **principale** argomento sul piatto, in questo universo di discorso, vero?
La app riceve solo l’UUID el dispositivo e nient’altra informazione sull’utente.
E per de-anonimizzare un sistema del genere non basterebbe "qualcosa" o qualcuno che associ l'UUID al volto o altro elemento identificativo della persona? In Cina hanno un efficacissimo sistema di riconoscimento facciale in grado di associare una notevole mole di metadati ai volti delle persone, si tratta "solo" di acquisire anche le scansioni degli UUID. Più banalmente, chiunque potrebbe mettere in pista un sistema casareccio e semi-manuale di associazione del UUID [1] con i propri amici, nemici, clienti, fornitori.... quando l'utente poi si identifica pure con altri mezzi automatici tipo tessere e robe analoghe allora la cosa è decisamente più facile, chessò, tipo quando qualcuno paga via POS... Il vostro sistema che tipo di meccanismi anti de-anonimizzazione prevede? Il vostro sistema che tipo di meccanismi anti-spoofing o furto di indentità prevede? Lo so, lo so che tanti di quelli che stanno leggendo mi considerano un filino paranoico, ma la storia passata e recente in merito ai sistemi di sorveglianza globale *e* di insicurezza dei dispositivi e del software non è da ignorare quando si progettano queste cose. [...] Grazie, Giovanni [1] a casa mia lo posso fare sia via Blutooth che via WiFI :-) -- Giovanni Biscuolo Xelera IT Infrastructures