Re: [新聞] 疫調功能優化！ 莊人祥：出示「台灣社交

社交距離APP裝了沒！它的運作機制是什麼？會有資安風險嗎？
https://pansci.asia/archives/321848

接觸史追蹤手機應用軟體的原理

臺大圖書資訊學系助理教授 鄭瑋與資訊工程學系副教授 蕭旭君在文中解釋接觸史追蹤手機應用軟體的原理。臺灣每日記者會所說的「疫調工作」大約是國人熟悉的接觸史追蹤，然而一旦有社區感染的疑慮，或是確診者數量增加時，則可能會造成人力上的負擔，難以用同樣的方式追蹤。「接觸史追蹤手機應用軟體（後簡稱為接觸史追蹤App）」就是將科技應用結合疫情調查體系的一種運作方式。

最近正在推廣的「台灣社交距離 App 」正是一款接觸史追蹤App，接觸史追蹤App在去年於世界各國政府紛紛出現，可參見MIT 的Technical review持續整理報導 。

「台灣社交距離 App」軟體是基於 Apple 與 Google 此兩大公司聯手推出的「暴露通知」（Exposure Notification）功能。將 Apple 與 Google 的手機內建此功能，再由各
個國家的官方衛生單位申請，即可啟用。

兩大公司所推出的暴露通知功能，以及其他類似的通訊協定，皆是利用藍牙訊息廣播的特性，以保障使用者的隱私。

根據相關技術文件，大部分利用藍牙技術的接觸史追蹤 App 運作原理如下：

接觸史追蹤App透過藍牙通訊，週期性地廣播隨機 ID （例如每分鐘傳 5 次，這裡只是舉例，真實情況以各App為準）。

接觸史追蹤 App 記錄其接收到的隨機 ID 。因藍牙的傳輸距離有限（傳統藍芽設備在無障礙的環境下約可達 100 公尺），有收到別人的廣播 ID即代表雙方在附近，因此還可以

根據藍牙的訊號強度估計雙方距離。

隨機產生的ID會「週期性更換」（如：每幾分鐘更換一次）。週期性更換的設計很重要，它讓使用者的行蹤不會長期被追蹤。

確診者可自己決定是否上傳過去 14 天內曾廣播過的隨機 ID。這邊須注意的是，確診者必須在輸入衛生單位的驗證碼後，才能上傳。此種驗證碼機制是為避免使用者誤發自己是確診者。

此類接觸史追蹤 App 會定期下載確診者的隨機 ID，並與使用者的ID比對。若比對結果有配對成功，表示使用者過去曾經與確診者接觸。這邊要強調的是，系統沒有即時警示「有無接觸」的功能，而是設計為過去14天的「回溯配對」功能。
這樣的系統（利用藍牙技術的接觸史追蹤 App）能透過藍牙訊號強度估計兩支手機之間的距離，進而判斷兩支手機的主人是否有「接觸」（亦即在近距離待了一定時間）。

個人行蹤隱私會因此洩漏嗎？

此款APP的使用，是否會洩漏個人行蹤隱私呢？

中山資訊工程系助理教授徐瑞壕說明，由於這款社交距離APP的原理，是透過民眾手機上藍牙通訊介面的收發訊號，來紀錄民眾彼此的手機之間近距離接觸足跡。此處所發送的藍芽訊號，是一組隨機識別碼，由隨機亂數搭配可以被查驗的虛擬識別碼所產生，每組識別碼會綁定一支手機，會定期地透過藍芽傳送識別碼。每支手機透過社交距離APP記錄的每一個識別碼，都會紀錄接收的時間，並且存放在使用者的手機內，並不會上傳至雲端伺服器。

只有當民眾自己被檢出為確診者時，才需要將自己手機內存放的社交距離識別碼紀錄上傳至雲端，並由雲端伺服器發送通知給那些曾經近距離接觸過確診者的民眾。因此，此APP不會洩漏任何非確診者的個人資料與行蹤。

https://imgur.com/2tzupCj

至於隨機 ID是否有可能暴露身份或行蹤給其他路人？鄭瑋與蕭旭君亦有說明，ID隨機產生且定期更換（如每幾分鐘更換一次），因此很難透過 ID 所傳達的資訊連結回特定使用者，且也不容易追蹤特定使用者的行蹤，再加上隨機 ID 能透露的資訊亦相當有限。此外，App軟體 中只會儲存自己廣播過的隨機 ID，以及收到別人的隨機 ID，並不儲存其他資料。

徐瑞壕對於社交距離APP 所能提供的資料，還有以下補充事項：

此APP不會洩漏任何非確診者的個人資料與行蹤。

確診者的行蹤記錄，會由確診者同意後，並且透過APP雲端伺服器所發送的驗證碼，來上傳足跡並驗證上傳的授權合法性。

如果民眾的手機不是隨時帶在身邊，而遺忘在某處，也可能因此產生不正確的足跡，因此該APP仍屬於輔助疫調的工具，不能作為疫調足跡的唯一工具。

如果APP的使用普及率不夠高，則無法作為有效的疫調工具，因此鼓勵民眾可多加利用。

社交距離 APP 與 Apple 的 AirTag 技術，基本的設計原理是相同的，皆是透過藍芽裝置的訊號收送，來確認裝置間相關位置，並定位。但市面上其他類似功能的 APP，是否涉及個人用戶隱私，就會需要分別確認，視每個 APP 上傳了什麼樣的個人用戶資訊而定。

（後略，可以自己點連結看全文）

--