Yazan: Dan Goodin

Çeviren-Hazırlayan: Hasan H. Kayış, Ankara Üniv. İletişim Fakültesi Araştırma Görevlisi

Şu günlerde akıllı telefon devleri enfeksiyonu izleme ve mahremiyeti dengeleme çalışmaları konusunda adeta ellerinde bir jilet ile dolaşmaktadırlar.

Cesur ve iddialı bir işbirliği ile Apple ve Google, COVID-19 yayılımını tespit etmek ve bunu yaparken de iOS ve Android kullanıcılarının gizliliğini korumaya çalışan bir akıllı telefon platformu geliştiriyorlar. Söz konusu birden fazla işletim sistemini destekleyen platform, telefon kullanıcılarının fiziksel temaslarını izlemek için Bluetooth Low Energy iletimine yerleşik yakınlık özelliklerini kullanacaktır. Bir kullanıcı daha sonra COVID-19 için pozitif test yaparsa, sonucu sağlık departmanı onaylı bir uygulamaya girmeyi seçebilir. Uygulama daha sonra mümkün olduğu kadar kısa bir sürede hastanın iki metreye yakın temas ettiği diğer tüm telefon kullanıcılarıyla iletişim kuracaktır.

Google ve Apple’ın uygulaması bireyi takip etme veya virüs bulaşmış bir bireyin yakın zamanda temasta olduğu herkesi bulma pratiğine teknolojik bir yaklaşım sunar. Oxford’da bir grup araştırmacı tarafından yakın zamanda yayınlanan bir çalışmada COVID-19’un geleneksel yönlerle takibinin oldukça riskli olduğunun altı çizilmiştir. Bunun yerine araştırmacılar, neredeyse her yerde bulundukları için akıllı telefonları kullanmayı önermişlerdir. Enfekte olmuş kişilerin hatalı anılarına güvenmek yerine söz konusu katılımcı uygulamaların neredeyse sınırsız sayıda kişiyi izleyebilmesini daha uygulanabilir görmüşledir.

En Kötüyü Hafifletmek

Mobil tabanlı iletişim izleme daha etkili olsa da, potansiyel olarak milyonlarca ve muhtemelen milyarlarca insanın hareketlerini ve sosyal etkileşimlerini izleyen merkezi veritabanlarına kapı açtığından mahremiyete de ciddi bir tehdit oluşturmaktadır. Apple ve Google’ın geliştirdiği platform, sisteme dâhil olanların gizliliğini riske atmadan izlemeye izin vermeyi amaçlayan yenilikçi bir şifreleme şeması kullanıyor.

Mahremiyet savunucuları ise sisteme ait en önemli tehditlerden bazılarının kaldırmış olmasına rağmen, yine de kötüye kullanıma açık olabileceğini söyleyerek sisteme çoğunlukla onay vermişlerdir.

Amerikan Sivil Özgürlükler Birliği’nin gözetim ve siber güvenlik avukatı Jennifer Granick de, “Apple ve Google, kendi insiyatifleriyle gizlilik ve merkezileşme risklerini hafifleten bir yaklaşım açıklamakla birlikte, hala iyileştirmelere ihtiyaç vardır” diyerek eksiklerden bahsetmiştir. “Biz herhangi bir temas izleme uygulamasının gönüllü ve merkezsiz, sadece halk sağlığı amacıyla ve sadece bu salgın süresince kullanıldığından emin olana kadar ilerlemeye devam edeceğiz.”

Söz konusu platform, geleneksel kişi izlemenin aksine, adlar, konumlar veya diğer tanımlayıcı bilgileri toplamaz. Bunun yerine, sistemi tercih eden iki veya daha fazla kullanıcı fiziksel temas kurduğunda, telefonları BLE kullanır. Güvenliği sağlamak için ise teknik jargonda yuvarlanma yakınlığı tanımlayıcıları olarak bilinen tanımlayıcılar, bir cihazın kablosuz izlenmesini önlemek için yaklaşık 15 dakikada bir değişir. Kullanıcılar hareket ettikçe ve başkalarıyla yakınlaştıkça, telefonları bu anonim tanımlayıcıları değiştirmeye devam eder. Periyodik olarak, kullanıcıların cihazları ayrıca COVID-19 için pozitif çıkan ve aynı yerel bölgede bulunan herkesin yayın işaret tanımlayıcılarını indirecektir.

[image error]

Birisinin sisteme pozitif test edildiğini bildirmesi durumunda, telefonu merkezi bir sunucuya başvuracak ve 14 gün tanımlayıcılarını yükleyecektir. Virüs bulaşmamış kullanıcılar günlük izleme anahtarlarını indirerek sistemi kullanabilirler. Sistem nasıl çalıştığı yukarıdaki görselde görülmektedir.

Apple ve Google, açık kullanıcı izni,  kişisel olarak tanımlanabilir bilgi veya kullanıcı konum verilerini toplamama, iletişim kurduğunuz kişilerin listesinin asla telefonunuzdan çıkmaması, testi pozitif olanların diğer kullanıcılara tanıtılmaması, platformun yalnızca COVID-19 salgın yönetimi için halk sağlığı yetkilileri tarafından kişi takibi için kullanılması gibi mahremiyet ile ilgili farklı güvenceler de sağlamaktadır. Ayrıca IOS ve Android fark etmez, bütün cihazlarda çalışır.

Nasıl Çalışır (Teoride)

Bir kriptografi ve üst düzey teknoloji uzmanı olan Jon Callas, planın çekiliş biletlerinin çalışma sistemine benzediğini ileri sürmektedir. Bir taraf kâğıt biletin yarısını, diğer taraf da diğer yarısını alır ancak teoride hiç biri tamamen bilete hâkim olamaz. İki telefon kullanıcısı fiziksel yakınlığa geldiğinde, BLE vericileri bilet alışverişi yaparlar. Sonunda biletlerin birinde COVID-19 pozitif çıkarsa biletler çıkarılır ve eşleştirilir. Böylelikle pozitif biri ile temas kurulduğu bilinmiş olur. Callas, Pan-European Privacy-Preserving Proximity Tracing olarak bilinen benzer bir COVID-19 izleme şemasının kabaca aynı şekilde çalıştığını belirtmektedir. Ayrıca Callas, hem Apple-Google platformunun hem de Pan-European Privacy-Preserve Proximity Tracing’in akışındaki belirsizliğin, hangi tarafların hangi biletlere erişebileceği henüz açık olmadığından, kötüye kullanım olasılığını açık bırakıldığına dikkat çeker. Kişi elindeki biletleri atarsa ya da başka birine verirse enfekte kişi serbest biçimde toplumda gezebilir. Callas ayrıca, Özel Otomatik Temas İzleme (PACT) olarak bilinen üçüncü bir izleme programının geliştirilmesine dâhil olduğunu belirtmektedir. Burada da tarafların sadece gönderilen biletleri serbest bırakabileceğine dair güvenceleri olduğunu söylemiştir.

[image error]

Farklılaştırma İstenci

Bir hacker ve geliştirici olan Moxie Marlinspike, planın ortaya konulduğunda onu yüksek eleştirenler arasındaydı. Platform hakkında ciddi endişelerini de dile getirmiştir. Nihayetinde izlemenin her daim esas bir sorun olabileceğinin üzerinde duruyor. Kendisi “Signal” adında şifreli bir mesajlaşma uygulamasının yaratıcısı ve onu bünyesinde bulunduran şirketin CEO’su olan Marlinspike, bir sonraki zayıflığın kullanıcı telefonlarına iletilmesi gerekebilecek veri miktarı olduğunu belirtmektedir. Ayrıca bazı troller belirli alanlarda dolanabilir ve sonrasında yanlış enfeksiyon vakaları rapor edebilirler. Bu durum da enfeksiyondan çok fazla insanın etkilenebileceği yanılgısına neden olabilir. Ancak bu tür kötü niyetlerin önüne vakaların bir otorite tarafından dijital olarak onaylanmasıyla geçilebilir. Ancak yine de olumsuz örneklerin önüne geçilemeyebilir. Ek olarak teknoloji uzmanı ve mahremiyet savunucusu Ashkan Soltani de ek gizlilik eleştirileri ve önerilerini kendi Twitter hesabında sıralamıştır. Buna benzer teknik olarak pek çok yenilikler ve eleştiriler eklenebilir.

Yakınınızdaki Bir Telefona Geliyor

Apple ve Google, Mayıs ayında iOS ve Android programlama arayüzlerini yayınlamayı planlamaktadır. Bunun gibi bir mobil işletim sisteminde çalışan uygulamaları geliştirirken halk sağlığı yetkilileri hazır bulunacaktır. Daha sonra resmi uygulamalar Apple’ın App Store ve Google Play’den indirilebilir. Nihayetinde şirketler izleme işlevselliğini doğrudan işletim sistemlerine sunmayı planlıyorlar. Muhtemelen, kullanıcılar ayar değişikliği ile işlevsellik üzerinde oynama yapabilirler. Bununla birlikte, mahremiyet risklerinin yanı sıra başka potansiyel kusurlar da vardır. Sistem, birisinin virüse maruz kaldığına dair bir uyarı gönderirse aynı apartmanda oturanlar bakımından gereksiz alarma neden olabilir.  Söz konusu bluetooth sistemi güvenilirliğini ve zaman zaman güvenliği tehlikeye atabilecek çeşitli kusurlara da eğilimlidir. Şu an henüz mevcut olmayan bir uygulama için mahremiyet risklerini ele almak zor görünmektedir. Ancak normal zamanlarda insanların bu tür uygulamalardan kaçınması tavsiyesi verilse de, devam eden küresel sağlık krizi göz önüne alındığında, bu çağrıyı yapmak bu sefer daha zor görünmektedir.

Kaynak:

https://arstechnica.com/information-technology/2020/04/apple-and-google-detail-bold-and-ambitious-plan-to-track-covid-19-at-scale/?utm_brand=arstechnica&utm_source=twitter&utm_social-type=owned&utm_medium=social