由於沟通似乎是不透明的,所以我们在此发表我们的观察。6月5日的报告增加了一份增编。综上所述,我们的观察结果如下。虽然这款应用的源代码是可用的,但在没有与苹果或谷歌签署协议的情况下,我们无法编译、运行它,并使其正常工作。我们不认为它与开放源码的概念兼容。接触追踪协议(最初是DP3T协议)的很大一部分是由Apple-Google在名为GAEN的系统中实现的。这部分没有可用的源代码,尽管法律要求公开系统所有组件的源代码。一些服务器由亚马逊托管,作为CDN服务的一部分。对潜在用户可用的信息不清楚、不完整或不正确。在使用SwissCovid时,用户可能会被第三方的监视系统跟踪或识别。报告的诊断用户有被第三方识别的风险。第三方可能会在一部目标手机或一大组目标手机上注入虚假的可能污染警报。这将导致人们被隔离,而不被认为处于危险之中。
为了解决没有可用的源代码的问题,虽然法律要求所有组件都必须有可用的源代码,但联邦委员会发布了一项法令,列出了不包括GAEN的详尽的组件列表。为了证明这种排除是合理的,SwissCovid的倡导者辩称,gaen是手机操作系统的一部分,有时也是手机蓝牙通信接口的一部分,要求披露这些部件的源代码并不常见。我们否认gaen是这款手机的任何这样的组成部分,至少在Android手机上是这样。GAEN是Google Play服务的一部分,它独立于操作系统和通信接口。实际上,我们可以在没有Google Play服务的Android手机上运行SwissCovid的准标准版本。不过,这款手机搭载的是Android操作系统,可以使用蓝牙。此外,在这个准标准版本中实现的大部分以前的DP3T协议在当前版本的应用程序中消失了,因为现在已经有了一个等效的协议。我们的结论是,没有充分的技术理由将GAEN排除在系统的组件之外。我们强烈认为,该条例是绕过法律的法律伎俩,而法律是SwissCovid和苹果-谷歌之间分歧的结果。我们恳请宪制专家对该条例的有效性作出评估。我们在这里将NCSC对我们报告的分析与我们自己的笔记放在一起。我们的发言摘要如下。NCSC说,公开测试的结果可以在NCSC的网站上找到。然而,我们的报告不在那里,我们想知道是否有其他报告丢失。我们认为公开测试并不像它的目标那样透明。NCSC仍然暗示gaen是操作系统的一部分,但事实并非如此。NCSC声称使用gaen增加了用户的隐私。我们强烈反对这一说法。将很大一部分联系人追踪外包给一个不透明的实现,这种实现由第三方提供,未经用户同意安装在最新的手机上,并且不受独立审计的影响,不能改善任何人的隐私。NCSC声称GAEN是一个接口,而不是一个协议。我们不同意这一说法。GAEN实现了接触追踪协议的很大一部分,以前是DP3T协议。我们更愿意把这款应用看作是gaen、服务器和用户之间的接口。NCSC辩称,亚马逊托管一些服务器是无害的,因为这项服务只涉及分发非敏感数据。在其他情况下,这种说法已被证明是错误的。然而,我们没有足够的信息来评估这项服务的安全影响。NCSC提到了已知的几种可能的攻击,并记录在案,但没有提供任何参考。我们知道这些攻击不是新的,我们不能想象NCSC不知道这些攻击。我们的主要观点是,用户应该意识到这些攻击,而信息目前并不容易获得。NCSC指出,如果用户处于他们认为敏感的环境中,他们可以随时关闭跟踪。我们非常同意这一点,但我们认为,用户需要知道可能的攻击,并提醒他们,如果他们担心的话,可以关闭SwissCovid。NCSC辩称,让应用程序扫描蓝牙,尽管用户关闭了蓝牙,但对用户来说并不存在风险。这是不正确的。一些应用程序(甚至GAEN)可能会继续扫描(违背用户的同意)。他们可以用与FOPH不同的阈值来确定使用者感染的风险,还可以识别使用者的接触者。在…