- Centrale data-opslag: de eerste optie -is- was het bijhouden van GPS-locaties van telefoons met een app. Die locatiedata zou centraal in een database worden opgeslagen, zodat bij een besmetting iedere persoon die in de buurt van de besmetting was geweest geïdentificeerd en gewaarschuwd kon worden. Daarmee weet de beheerder van de database waar iedereen is geweest.
- Decentrale data-opslag: iedere telefoon registreert met behulp van Bluetooth bij welke andere apparaten je in de buurt bent geweest. Die gegevens worden versleuteld opgeslagen op de telefoon, en periodiek wordt een lijst met besmette ‘telefoons’ opgevraagd en vergeleken met jouw lokale registratie. Op die manier worden jouw bewegingen dus niet centraal gedeeld. Zo’n app is in Singapore ingezet (meer info).
- iOS 13 werd bij release door alle reviewers neergezet als buggy. Niet voor niets verscheen iOS 13.1 al een paar dagen later.
- En nu blijkt in iOS 13.2 een nieuwe bug geïntroduceerd te zijn die ervoor zorgt dat apps heel snel uit het geheugen verdwijnen.
- macOS 10.15 Catalina kwam ook niet heel solide over, met o.a. een vervelende bug in Mail.app, de voor DJ-apps verdwenen integratie met de iTunes-bibliotheek van gebruikers, terwijl ook notarization vereist werd en ondersteuning voor 32-bit applicaties verdween.
- Op iOS was ik altijd een early adopter, die vaak al beta's gebruikte op mijn eigen telefoon. Maar op dag 1 upgraden doe ik nu eigenlijk niet meer. Op de nieuwste iPhones werkt de nieuwe iOS-versie meestal wel aardig, maar 2 tot 4 jaar oudere modellen functioneren pas weer echt goed vanaf de derde of vierde punt-update (13.3 of 13.4).
- Bij macOS ben ik tegenwoordig nog iets voorzichtiger dan vroeger bij Windows: ik wacht minimaal tot de eerste update met bugfixes (10.15.1 in dit geval), ga dan onderzoeken welke problemen er nog spelen bij voor mij essentiële apps (zoals die van Adobe), en waag de upgrade pas als er geen grote issues meer zijn.
Coronavirus-registratie op onze telefoons
Google en Apple voegen half mei nieuwe functionaliteit toe aan Android en iOS om het registreren van mogelijke coronavirus-contacten mogelijk te maken. Contact tracing, noemen ze het. En het wordt een privacy-vriendelijker optie gebaseerd op Bluetooth LE (nerdy PDF alert).
De Nederlandse corona-apps
Die gedeelde aankondiging sluit natuurlijk perfect aan op het nieuws van afgelopen dinsdag dat de Nederlandse overheid twee corona-apps gaat ontwikkelen. Want de eerste daarvan zou moeten gaan bijhouden bij wie je in de buurt bent geweest. Zodat je een signaal kan krijgen, of geven, als je mogelijk contact hebt gemaakt met iemand die (later) positief getest wordt.
“Maar hoe gaat dat dan werken?”, vroeg men zich af. En zullen veiligheid en privacy voldoende gegarandeerd zijn? Tech-journalisten Daniël Verlaan (RTL) en Joost Schellevis (NOS) legden toen allebei uit hoe die apps kunnen gaan werken:
Nederlanders verplichten zo’n app te installeren lijkt juridisch trouwens wel mogelijk. Maar dat terzijde.
Techniek & privacy
Google en Apple kiezen voor de decentrale optie, die op termijn zelfs op besturingssysteem-niveau in Android en iOS geïmplementeerd wordt. Apple verwoordt het zo:
First, in May, both companies will release APIs that enable interoperability between Android and iOS devices using apps from public health authorities. These official apps will be available for users to download via their respective app stores. Second, in the coming months, Apple and Google will work to enable a broader Bluetooth-based contact tracing platform by building this functionality into the underlying platforms. This is a more robust solution than an API and would allow more individuals to participate, if they choose to opt in, as well as enable interaction with a broader ecosystem of apps and government health authorities.
In eerste instantie moet iedereen dus apps van overheden installeren, waarmee onze telefoons kunnen gaan bijhouden bij wie we in de buurt zijn geweest. In de tweede fase wordt de contactregistratie ingebouwd in de mobiele besturingssystemen, waarna overheidsapps toegang kunnen krijgen tot die data.
Terug naar de uitleg van The Verge:
The system also takes a number of steps to prevent people from being identified, even after they’ve shared their data. While the app regularly sends information out over Bluetooth, it broadcasts an anonymous key rather than a static identity, and those keys cycle every 15 minutes to preserve privacy. Even once a person shares that they’ve been infected, the app will only share keys from the specific period in which they were contagious. Crucially, there is no centrally accessible master list of which phones have matched, contagious or otherwise. That’s because the phones themselves are performing the cryptographic calculations required to protect privacy. The central servers only maintain the database of shared keys, rather than the interactions between those keys.
Op papier klinkt het goed. Een vraagteken voor mij was of en hoe een telefoon kan schatten hoe dichtbij een andere telefoon is gekomen. Warempel is dat via Bluetooth enigszins mogelijk met RSSI:
RSSI staat voor received signal strength indicator. Het is een indicatie van het ontvangen (in dit geval) Bluetooth signaal. Het zegt iets over het ontvangen bereik. Zo ongeveer ieder apparaat heeft een ander zendvermogen. Op basis van de RSSI value kan je alleen iets zeggen over hoe goed het bereik is. Wanneer je het te verwachten zendvermogen (op basis van een vooraf samengesteld profiel per apparaat) toevoegt aan de berekening kan je een nauwkeurige schatting maken van de afstand tussen de twee apparaten.
Al lijkt dat niet heel precies (technische uitleg).
Technisch en maatschappelijk is dit enorm interessant. Ik ben benieuwd waar het de komende weken en maanden naartoe gaat.
De eeuw van Big Tech?
Wordt de 21ste eeuw de eeuw van Google, Amazon, Apple en Microsoft? Rond de jaren ‘30 van de 20ste eeuw ontstonden de grote Amerikaanse autofabrikanten. Die wisten hun positie de rest van de eeuw te consolideren, en daarmee werd de auto een van de belangrijkste producten van de vorig eeuw. De auto was bepalend voor hoe grote delen op de wereld werden ingedeeld en mensen leven (van infrastructuur tot suburbs en de manier van winkelen).
Ben Thompson trekt die lijn door:
Today’s cloud and mobile companies — Amazon, Microsoft, Apple, and Google — may very well be the GM, Ford, and Chrysler of the 21st century. The beginning era of technology, where new challengers were started every year, has come to an end; however, that does not mean the impact of technology is somehow diminished: it in fact means the impact is only getting started.
Software kwaliteit: een zure Apple
Iedereen wist 15 jaar geleden al dat je nooit direct nieuwe Windows-versies moest installeren. “Wacht op het eerste Service Pack”, was het devies. Of misschien zelfs tot het tweede. Ook als consument. Voor Apple-gebruikers gold dat iets minder. Maar de laatste jaren is de kwaliteit van software upgrades matig tot slecht. Zo ook weer dit jaar:
Dus als je een iPhone, iPad of Mac hebt is snel upgraden naar nieuwe OS-versies ook niet meer aan te bevelen. Toch is 50% van alle iOS-gebruikers alweer geüpgraded.
Wat ik doe
Dat verschilt nog per platform:
Software upgrades, ze blijven tijdrovend en risicovol. Daar staan bugfixes, een veiliger OS en enkele nieuwe mogelijkheden tegenover. En daarom toch bijten we ons telkens weer door de zure Apple appel heen.
(Maar laten we het niet over de Macbook-hardware hebben…)
Over Apple's Bluetooth mesh netwerk: Bizar!
In de grappige en boeiende 168ste aflevering van de Appels en Peren Show ging het even over de meest interessante aankondigingen van Apple’s jaarlijkse developer conferentie (WWDC 2019). Voor Wietse was dat iets wat mij ook opviel: het bluetooth mesh network ontwikkeld voor de vernieuwde Find My-functie. Daarmee zou je een verloren of gestolen Mac moeten kunnen terugvinden zonder dat deze online is.
Luister het fragment dat begint rond minuut 7:32 (directe Overcast link, directe link naar de Appels en peren player):
Hoe die offline Find My-functie gaat werken legt Wired uit:
In upcoming versions of iOS and macOS, the new Find My feature will broadcast Bluetooth signals from Apple devices even when they're offline, allowing nearby Apple devices to relay their location to the cloud. That should help you locate your stolen laptop even when it's sleeping in a thief's bag. And it turns out that Apple's elaborate encryption scheme is also designed not only to prevent interlopers from identifying or tracking an iDevice from its Bluetooth signal, but also to keep Apple itself from learning device locations, even as it allows you to pinpoint yours.
Op het Cryptography Engineering blog probeert Matthew Green in How does Apple (privately) find your offline devices? uit te werken hoe dit waarschijnlijk technisch in elkaar zit. Wat meer nerdy, maar ook leerzaam.