באילו דרכים ניתן להערים על אפליקציות המעקב?

אפליקציית המגן של משרד הבריאות

כיום, האפליקציה מבוססת על שמירת נתוני איכון סלולרי של המשתמש והשוואתם מול מידע על מיקום נשאי קורונה שמעביר משרד הבריאות לאפליקציה. מדובר בשיטה מוגבלת ביכולתה, ומשרד הבריאות כבר נמצא בהליכים לשדרוג האפליקציה. כיוון אפשרי שזוכה לתמיכה מצד ממשלות, מוסדות מחקר וחברות הוא שימוש באותות בלוטות' שאינם מצביעים על מיקומו או תנועותיו של המשתמש ושנשמרים רק על מכשירו האישי.

מעקב מיקומים בגוגל

במקרה זה, כל מכשיר עם אפלקיציה מתאימה מייצר מזהה אקראי ומשדר אותו לסביבתו מדי דקה באמצעות רכיב הבלוטות'. וכל מכשיר עם אותה אפליקציה שנמצא בסביבה ומקבל את האות שומר אותו בלוג אותות (שיכול להשמר, למשל, רק לשבועיים). כמו בתיאום קוסמי, שעות ספורות אחרי שפרסמה הממשלה את תזכיר הצעת החוק הגיעו אפל גוגל, שהפיצו אתמול את כלי הפיתוח שלהן ל-iOS ולאנדרואיד שמאפשרים למפתחים לעשות שימוש ברכיבים החומרה והתוכנה של מכשירי המובייל שלהן, ובפרט בבלוטות', לצורך פיתוח יישומי Contatct Tracing.

השאלה מה קורה עם המידע שנשמר ואיך מועברת התרעה במקרה של זיהוי מגע עם נשא משתנה. יש הצעות שמדברות על העברת המידע מהמכשיר לרשויות הבריאות שיוכלו להפיץ התרעות בהתאם. אבל אם שמים במרכז את השמירה על הפרטיות, ההצעה הבולטת ביותר היא פרוטוקול בשם DP-T3 שפיתחו 25 חוקרים מובילים מאוניברסיטאות שונות בעולם. לפי פרוטוקול זה, המשתמשים הם אלו שמסמנים את עצמם כנשאים. באמצעות מערכת מרכזית ששומרת רק את המזהים האקראיים ולא מידע אישי מועברת לטלפונים השונים רשימת המזהים שסומנו כנשאים, ובעלי המכשירים שהיו עמם במגע ממושך מקבלים התרעה על הצורך להיכנס לבידוד.

אין ספק שהסתמכות על אפליקציות כאלו טובה הרבה יותר בכל הנוגע לשמירה על פרטיות אזרחים, הן מכיוון שהן מעוצבות כך שהמידע נאסף באופן שמסתיר פרטים בעייתים כמו מיקום המשתמש, והן מכיוון שבהפעלתן אין צורך לערב סוכנות ריגול, על כל היכולות החשאיות המתקדמות שלה. ויש כאן פוטנציאל לכלי יעיל במיוחד באיתור אנשים שהיו במגע עם נשאים והכנסתם המהירה לבידוד.

ההאקר נעם רותם צילום: עמית שעל

אבל אם תשאלו את ההאקר נעם רותם, יש כאן דווקא פוטנציאל לתקלות, וניצול זדוני לרעה מצד משתמשים מבלי יכולת לזהות את המקור הפגע, בגלל הפרטיות המוגברת שמציעות אותן אפליקציות. לרותם יש מוח קרימנלי במיוחד, שלשמחתה של האנושות הוא בחר להשתמש בו רק למטרות טובות (בעיקר זיהוי פרצות מביכות אך מסוכנות באתרים שמחזיקים מידע רגיש עלינו). במקרה זה, הוא השתמש ביכולות האנליטיות ובדימיון הרחב שלו על מנת לזהות את מגוון הדרכים שבהן העבודה של אפליקציות אלו תוכל להשתבש – ופרט אותן בהרחבה בפודקאסט אבטחת המידע (והמאפים) סייברסייבר שהוא מגיש לצד עידו קינן.

אחת מנקודות השיבוש הבולטות שמזהה רותם קשורה לזיהוי שגוי. למשל, שני שכנים שחולקים קיר בין חדרי השינה שלהם. מדי לילה, כמקובל, הם מניחים את הטלפונים שלהם על שידת הלילה. הקיר אולי חסין לנגיפים, אך לא לאותות בלוטות', כך שאפליקציה זיהוי מגעים תזהה אותם כמי שהיו במגע, גם אם מעולם לא נפגשו פנים מול פנים. במקרה שאחד מהם זוהה כנשא, יקבל האחר התרעה שעליו להיכנס לבידוד, וייתכן שגם כל מי שהיה אתו במגע (מעגל שני) ידרש להיכנס לבידוד. בגלל מנגנוני הפרטיות המובנים, במיוחד אלו שבפרוטוקול DP-T3, אין דרך לדעת מי היה מקור ההתרעה.

או, מה אם מקרה שבו מדובר במקום שבו המבקרים נדרשים להפקיד את הטלפונים בכניסה ולאחסן אותם בלוקר מיוחד (דרישה אופינית באתרים ביטחוניים רבים). במקרה כזה, מסביר רותם, "הטלפון 'פוגש' המון מכשירים חדשים כל היום. מכיוון ש'הדבקה' היא בוליאנית, זאת אומרת 'היתה' או 'לא היתה' בלי קונטקסט של מי, איפה, ומתי, בעל המכשיר לא יכול לדעת אם מי ש'נדבק' זה הוא או רק המכשיר שלו. אותו הדבר נכון גם למכוני כושר בהם משאירים המתאמנים את מכשיריהם בחדר ההלבשה. מי שרואה 'הדבקה' אלה המכשירים ולא האנשים".

אלו עוד תרחישים סביר, שבהם אין שום ניסיון לניצול לרעה. אבל, כידוע לכולנו, טבע האדם רע מנעוריו. ואיפה שיש מקום לתחמון, תמיד יהיה מי שינצל זאת. רותם מפרט כמה תרחישים כאלו, תוך שימוש בדמויות צבעוניות שונות. למשל, מורת התיכון לודה. "אורגד, מורה לנגרות בבית הספר של לודה, מחזר אחריה כבר תקופה, אך אופיו הבכייני ורפיסותו המוסרית אינן תכונות מושכות בעיניה והיא דוחה את חיזוריו, ונהנית מחברתו של איימן, לוחם צדק מסוקס וטבח מחונן", מתפייט רותם. "אורגד האפרפר לא אוהב את הקשר החדש הנרקם בין מושא אהבתו לבין איימן, והוא מחליט שבידוד של שבועיים זה בדיוק מה שלודה צריכה כדי להתגבר על איימן וסוף סוף לראות שהיא רוצה לבלות את ימיה עם הגרסה העצובה של בובספוג. למרות שהוא לא סובל משום תסמין, הוא מדווח על עצמו כנגוע, מה שמתניע שרשרת ארוכה של בידודים יקרים שמקורם באהבה נכזבת של נגר מתוסכל".

ומה אם יש ללודה תלמיד עצלן במיוחד? "החומר למבחן במתמטיקה רובץ על צביאל, שמעדיף לשחק במשחק המופתי 'זלדה' בנינטנדו סוויץ' שקיבל ליום הולדתו. השעה קרובה לאחת עשרה בלילה כשצביאל מביס את ההתגלמות של גאנון שהתבצרה בגמל החשמלי, וסוף סוף מבין שאין לו שום סיכוי לצלוח את המבחן עם ציון עובר. כשהוא מביט במכשיר הטלפון שלו לפתע נדלקת לו נורה מעל הראש והוא מרים אותו במהירות ומקיש 'נדבקתי' באפליקציה. תוך דקות כל האנשים אתם היה בקשר, בהם המורה שלו למתמטיקה, מקבלים התרעה שעליהם להיכנס לבידוד, וכך, בצער רב, המבחן נדחה למועד מאוחר יותר. מכיוון שאיש לא יודע מי דיווח על הידבקות, אף אחד לא יהיה אחראי למחדל הזה".

בתרחיש קיצוני, אפשר להשתמש באפליקציה כזו לביצוע מעין מתקפת טרור: "ארגון זר שפגיעה בכלכלה הישראלית היא אחת ממטרותיו משלם לשונית לשאת מספר מכשירים ולהסתובב במרחב הציבורי. היא מסתובבת בקניונים, בשווקים, בבתי ספר, בבתי מרקחת, בכנסת, בבית המשפט העליון, ובשלל מקומות נוספים. אחרי שנרשמו המכשירים האלה בכמות גדולה של מכשירים אחרים, שולחים מפעיליה של שונית הודעת הדבקה שמיד שולחת מאות אנשים בריאים לבידוד. מכיוון שהמערכת אנונימית לחלוטין, איש לא ידע לעולם על הפעילות החתרנית של שונית".

ואפשר, כמובן, גם לתחמן את המערכת מהכיוון ההפוך. "איבוד מקום העבודה לא היה קל לזאב", סיפר רותם. "השכירות מעיקה והמדינה לא ממש עוזרת. שורה של ראיונות עבודה כבר קבועה לשבוע הקרוב, והאוכל במזווה כבר נגמר ואין ברירה אלא לקפוץ לרכוש כמה מצרכים. אבל מה יקרה אם יצטרך להיכנס לבידוד? זאב מחליט להשאיר את הטלפון בבית כדי לא ליפול קורבן לשגיאות המובנות בתהליך. כל המפגשים של זאב בדרך לסופר ובחזרה ממנו לא ירשמו באפליקציה. החשש מאמינות התהליך גורם לאנשים 'לעגל פינות', מה שהופך אותו לפחות יעיל".

לדברי רותם, יש שתי דרכים בולטות להתמודד עם הבעיות שהוא מדגים. אחת, כרוכה בפגיעה בפרטיות. "הפתרון המתבקש, הוא פשוט לוותר על הפרטיות של המשתמשים באפליקציה, אך לחשוף את פרטיהם רק לעיני משתמשים מורשים שימונו על ידי המדינה", הוא אמר לדו"ח טכנולוגי. "זה יוכל לצמצם במידה את הניצול לרעה שאפשר לעשות באפליקציה, אך ידרוש משאבים מכובדים כדי להפעיל אותו, ויהרוג את שאריות הפרטיות שעוד נותרו לנו מפני חיטוט של האח הגדול".

ד"ר תהילה שוורץ אלטשולר המכון הישראלי לדמוקרטיה

זה בעצם פתרון שמעלים ד"ר תהילה שוורץ אלטשולר ועו"ד רחל ארידור הרשקוביץ מהמכון הישראלי לדמוקרטיה וד"ר ערן טוך מהפקולטה להנדסה באוניברסיטת תל אביב בהצעה משותפת שגיבשו. ביסוד ההצעה עומדת אפליקציה דומה לזו של פרוטוקול DP-T3, אך בתוספת הבדל מרכזי לגבי השימוש במידע. "'לוג האותות' שנשמר על גבי מכשיר הטלפון של מי שנמצא חולה קורונה, יועברו בהסכמת המשתמש, לשרת מרכזי שבמשרד הבריאות שבו יהיו המפתחות לפיענוח ההצפנה של המידע. משרד הבריאות יוכל לזהות את את המשתמשים שנמצאו בסמיכות פיזית לחולה ויודיע להם להיכנס לבידוד. משרד הבריאות לא ידע בהכרח היכן היה המפגש בין הטלפונים אלא את עצם העובדה שמפגש כזה התרחש".

החיסרון הברור שלה הוא שבידי המדינה יהיה ידע על מפגשים בין אזרחים וזמני המפגש – מידע בעל פוטנציאל רגיש במיוחד – והגם שהפגיעה בפרטיות קטנה מזו של ריגול על ידי השב"כ, היא עדיין קיימת. וכמובן, ששיטה זו לא פותרת מקרים שבהם מכשירים היו זה בקרבת זה מבלי שבעליהם באו במגע ישיר, או פשוט ניסיונות של אזרחים לחמוק מתיוג באמצעות השארת המכשיר בבית.

אבל לדברי רותם יש גם אפשרות אחרת, מורכבת יותר מכיוון שהיא דורשת שלא להתייחס לאזרחים כחסרי אחריות. "פתרון אחר, הגיוני הרבה יותר אך משום מה בלתי מושג, הוא לדרוש אחריות אישית מהאזרחים בלי לעקוב אחרי כל תנועה ותנועה שלהם", אמר. "חינוך נכון לחיים בחברה מתוקנת, חומלת, ומתחשבת, זה פתרון שמשום מה לא נמצא על השולחן של אף גוף במדינה".