El viernes, Apple y Google revisaron su ambiciosa propuesta de seguimiento automático de contactos , solo dos semanas después de que el sistema se anunciara por primera vez. Un representante de Apple dijo que los cambios fueron el resultado de los comentarios que ambas compañías recibieron sobre las especificaciones y cómo podrían mejorarse. Las compañías también lanzaron una página de "Preguntas frecuentes" , que vuelve a compartir gran parte de la información que ya se ha hecho pública.
En una llamada que acompañaba el anuncio, los representantes de cada compañía se comprometieron por primera vez a deshabilitar el servicio después de que el brote se contuvo lo suficiente. Dicha decisión debería tomarse región por región, y no está claro cómo las autoridades de salud pública llegarían a tal determinación. Sin embargo, los ingenieros declararon definitivamente que las API no estaban destinadas a mantenerse indefinidamente.
Algunos de los cambios parecen diseñados para abordar las preocupaciones de privacidad que surgieron después del lanzamiento inicial. Según la nueva especificación de cifrado, las claves de rastreo diarias ahora se generarán aleatoriamente en lugar de derivarse matemáticamente de la clave privada de un usuario. De manera crucial, la clave de seguimiento diario se comparte con la base de datos central si un usuario decide informar su diagnóstico positivo. Algunos expertos en cifrado temen que, según el antiguo protocolo de cifrado, ciertos ataques puedan vincular esas claves con un usuario en particular. Conectar a una persona a un diagnóstico debería ser más difícil con las claves generadas aleatoriamente. Como parte del cambio, la clave diaria ahora se conoce como la "clave de seguimiento temporal", y la clave de seguimiento a largo plazo incluida en la especificación original ya no está presente.
La nueva especificación de cifrado también establece protecciones específicas en torno a los metadatos asociados con las transmisiones Bluetooth del sistema. Junto con los códigos aleatorios, los dispositivos también transmitirán su nivel de potencia base (utilizado para calcular la proximidad) y qué versión de la herramienta están ejecutando. Esta información podría utilizarse potencialmente para huellas dactilares de usuarios específicos, por lo que los ingenieros diseñaron un nuevo sistema para encriptarlos de modo que no puedan decodificarse en tránsito.
Las compañías también están cambiando el lenguaje que usan para describir el proyecto. Los protocolos se anunciaron inicialmente como un sistema de seguimiento de contactos , ahora se conoce como un sistema de "notificación de exposición". Si bien las aplicaciones y los protocolos propuestos podrían reemplazar algunas funciones del rastreo de contactos tradicional, no pueden hacer el trabajo más sofisticado de entrevistar a los sujetos e identificar grupos de infección , que luego pueden informar los esfuerzos futuros de salud pública. Las compañías dicen que el cambio de nombre refleja que el nuevo sistema debería estar "al servicio de esfuerzos más amplios de localización de contactos por parte de las autoridades de salud pública".
Ninguno de los cambios del viernes aborda la cuestión de cómo las autoridades de salud verificarán los diagnósticos positivos para evitar trolls u otros falsos positivos, y parece probable que esa pregunta sea abordada por desarrolladores de aplicaciones específicos. Dadas las amplias variaciones en los sistemas de salud a nivel internacional, los ingenieros dijeron que sentían que era mejor para las autoridades locales desarrollar su propio sistema de verificación para alinearse con su sistema para las pruebas de distribución.
Una de las preguntas más importantes sobre el proyecto es si será adoptado por las agencias de salud pública, y las compañías no dieron más detalles sobre asociaciones específicas. Sin embargo, dijeron que habían discutido el proyecto con docenas de partes interesadas, incluidas las agencias de salud pública.
La primera fase del programa se distribuirá a través de una API en la lista blanca, y los nuevos documentos brindan más detalles sobre los límites específicos sobre a quién se permitirá el acceso. "Las aplicaciones recibirán aprobación en función de un conjunto específico de criterios diseñados para garantizar que solo se administren junto con las autoridades de salud pública, cumplan con nuestros requisitos de privacidad y protejan los datos del usuario", afirman los nuevos documentos. No está claro si esos criterios permitirían aplicaciones basadas en Android distribuidas fuera de la tienda Google Play, pero Google históricamente ha planteado preocupaciones sobre la privacidad de los datos en torno a dichas aplicaciones.