1 puan yazan GN⁺ 2025-06-22 | 1 yorum | WhatsApp'ta paylaş
  • Batı Asya ve Kuzey Afrika (WANA) bölgesindeki Samsung A ve M serisi cihazlara AppCloud varsayılan olarak yükleniyor; rıza, silme ve veri işleme şeffaflığı temel tartışma konuları haline geldi
  • AppCloud, İsrail’de kurulmuş ironSource tarafından geliştirildi ve şu anda Unity’ye ait; Samsung ile 2022’de genişletilen ortaklığın ardından WANA bölgesindeki yeni A ve M serisi cihazlara dahil edildi
  • İşletim sistemine derinlemesine entegre yapısı nedeniyle sıradan kullanıcılar için silinmesi zor; root erişimi garantinin geçersiz kalması ve güvenlik riskleri anlamına geliyor, devre dışı bırakıldıktan sonra bile güncellemelerin ardından yeniden görünebiliyor
  • Açık mektup, AppCloud’un biyometrik bilgiler, IP adresi, cihaz parmak izi gibi hassas verileri toplamasına rağmen erişilebilir bir gizlilik politikası ve açık bir opt-out yöntemi sunmadığını eleştiriyor
  • Samsung’dan veri işleme süreçlerini açıklaması, kaldırma ve opt-out imkânı sunması, WANA bölgesinde ön yüklü gelmesinin nedenini açıklaması, gelecekteki cihazlara eklenmesini yeniden değerlendirmesi ve ilgili ekiplerle toplantı yapması talep ediliyor

WANA bölgesindeki Samsung cihazlara varsayılan olarak yüklenen AppCloud

  • Batı Asya ve Kuzey Afrika (WANA) bölgesindeki kullanıcılar, Samsung A ve M serisi akıllı telefonlara önceden yüklenmiş AppCloud ile ilgili sorunlar bildirdi
  • AppCloud’un kullanıcıların bilgisi veya rızası olmadan yüklendiği, hassas kişisel verileri topladığı ve cihaz güvenliğini riske atmadan kaldırılmasının zor olduğu yönünde endişeler doğurdu
  • Samsung, AppCloud’un nasıl çalıştığını, hangi verileri topladığını ve kullanıcıların neden opt-out yapamadığını şeffaf biçimde açıklamadığı gerekçesiyle eleştiriliyor

ironSource, Unity ve Samsung ortaklığı

  • AppCloud, İsrail’de kurulmuş ironSource tarafından geliştirildi; ironSource şu anda ABD merkezli Unity şirketine ait
  • Samsung ile ironSource arasındaki ortaklığın genişletilmesi 2022’de gerçekleşti; bunun ardından AppCloud, WANA bölgesinde dağıtılan yeni A ve M serisi cihazlara varsayılan olarak dahil edildi
  • İsrail’de kurulmuş bir şirketle bağlantı, İsrailli şirketlerin faaliyet göstermesinin yasak olduğu ülkelerde hukuki ve etik kaygıları artırıyor

Silme ve devre dışı bırakma kısıtları

  • Analize göre AppCloud, silinemeyen bir uygulamaya yakın ve cihazın işletim sistemine derinlemesine entegre edilmiş durumda
  • Sıradan bir kullanıcının AppCloud’u silmesi fiilen root erişimi gerektiriyor; bu süreç garantinin geçersiz kalmasına ve güvenlik risklerine yol açıyor
  • Uygulamayı devre dışı bırakmak da yeterli değil; sistem güncellemelerinden sonra yeniden ortaya çıkabiliyor

Kişisel veri işleme ve rıza sorunları

  • AppCloud için erişilebilir ve şeffaf bir gizlilik politikası bulunmadığından kullanıcıların hangi verilerin toplandığını ve nasıl kullanıldığını doğrulaması zor
  • Açık bir opt-out mekanizması da sunulmuyor
  • Toplandığı belirtilen hassas veriler şunlar:
    • biyometrik bilgiler
    • IP adresi
    • cihaz parmak izi
  • Kullanıcı rızası olmadan kurulum, AB GDPR maddeleri ve WANA bölgesindeki ülkelerin ilgili veri koruma yasalarının ihlali sorunlarına yol açabilir
  • Samsung hizmet şartları üçüncü taraf uygulamalardan söz ediyor, ancak AppCloud veya ironSource’u özel olarak ele almıyor

Samsung’dan talep edilen adımlar

  • AppCloud’un tam gizlilik politikasını ve veri işleme yöntemlerini açıklamalı, tüm kullanıcıların buna kolayca erişmesini sağlamalı
  • Kullanıcılara cihaz işlevlerini veya garantiyi etkilemeden AppCloud’dan opt-out yapabilecekleri ya da uygulamayı kaldırabilecekleri açık ve etkili bir yol sunmalı
  • WANA bölgesindeki tüm A ve M serisi cihazlara AppCloud’u önceden yükleme kararını açıkça açıklamalı
  • İnsan Hakları Evrensel Bildirgesi’nin 12. maddesindeki mahremiyet hakkı doğrultusunda, gelecekteki cihazlarda AppCloud’un önceden yüklenmesine devam edip etmeyeceğini yeniden değerlendirmeli
  • WANA bölgesindeki kullanıcı mahremiyeti ve veri koruma yaklaşımını görüşmek üzere ilgili Samsung ekipleriyle bir toplantı talep ediliyor

1 yorum

 
GN⁺ 2025-06-22
Hacker News görüşleri
  • Kitlesel gözetimin, yakın zamanda İran’ın üst düzey nükleer bilim insanları ve askeri subaylarının evlerinde hedef alınmasıyla güçlü biçimde bağlantılı olması muhtemel
    Hangi ülkeden olursa olsun, hangi tarafta durursa dursun, şirketlerin sattığı müşteri verileri ya da kullanıcıları izleyip sunuculara gönderen yerleşik uygulamalar gibi “yarı açık” kaynaklarla bile bir kişi hakkında çıkarım yapmak her zamankinden kolay hale geldiği konusunda sanırım herkes hemfikir olabilir
    İstihbarat kurumları açısından bilgi toplamayı piyasaya outsource etmek mümkün ve bunun geleneksel yöntemlerden daha ucuz ve çok daha pratik olma ihtimali yüksek
    Gizlilik bir insan hakkıdır” sözü görmezden gelindi, ama umarım siyasetçiler yakında bunun aynı zamanda bir ulusal güvenlik meselesi olduğunu da fark eder

    • Gerçek, Overton penceresinin epey dışında
      Evet, drone çağında gizlilik bir sivil savunma meselesi. Ama mevcut devletler bunu asla kabul etmeyecek
      Çünkü devletin yapısı ve kurumları, bu tür zaafları yaratan büyük ölçekli kişisel olarak tanımlanabilir bilgi veritabanlarına ve kamusal hesap verebilirlik için kurumsal şeffaflığa dayanıyor
      Bu yüzden bu veritabanlarını ele geçirip hedef belirlemek için kullanan isyancı güçlere karşı yapısal olarak savunmasız hale geliyorlar
      Mevcut devletler, vergi mükellefi veritabanlarının yeterince güvenli olduğu yanılsamasına tutunup, toprak üzerindeki kontrol birkaç tahkim edilmiş gizli tesise kadar daralana dek dayanacak gibi görünüyor. Drone çağında kara birlikleri de Operation Spiderweb benzeri şeyleri engelleyip güvenliği garanti edemez
      Önümüzde çok öngörülemez ve muhtemelen aşırı şiddetli bir dönem var gibi
    • İsrail’in çoğu CPU arka kapı erişimine sahip olduğunu düşünüp şüpheleniyorum
      Pegasus’a bakınca bende şu his oluşuyor: Çin’in 1,5 milyar nüfusu ve çok kaynağı var; iOS’u hacklemenin bir yolunu bulsa ekonomik olarak muazzam kazanç sağlayacak olmasına rağmen bunu yapamadı. Ama 7 milyon nüfuslu İsrail, iOS’u birkaç kez hacklemekle kalmadı, bunu müttefik ülkeleri gözetlemek için bile kullandı
      Pegasus’un karmaşıklığını analiz eden yazıları okudum; yeniden üretildi mi bilmiyorum. Üretildiyse mantıken benim yanıldığım anlamına gelir, ama içimdeki komplo teorisyeni ses hâlâ haklı olduğumu hissediyor
      Nedeni şu. İsrail’de çok sayıda yarı iletken fabrikası ve Ar-Ge merkezi var. Oysa ABD açısından İsrail’de fabrika veya Ar-Ge merkezi bulundurmak hiç mantıklı değil. Çünkü o ülkenin, durduk yere bombalanma riski altında olduğu sıkça söylenir
      Intel 80’lerden beri İsrail’de fabrika bulunduruyor; neden Japonya, Fransa, Birleşik Krallık ya da Kanada değil diye merak ediyorum. Fransa ve Birleşik Krallık ABD’nin yakın müttefikleri ve deprem ya da bombalanma riskleri de yok
      Intel’in tüm CPU’lara Intel Management Engine koymaya başladığı dönemle İsrail’de en büyük fabrikasını kurduğu dönemi karşılaştırdım; ardından AMD’nin Intel ME’ye benzeyen PSP’yi kullanmaya başladığı zamanla İsrail’deki büyük bir sızma testi startup’ını satın aldığı ve Ar-Ge merkezleri kurmaya başladığı zamanın çakışmasını da kurcalamaya başladım. Apple ve Qualcomm için de benzer hikâyeler var
      Elbette bunların hepsi komplo teorisi ve tarihlerin çakışması tek başına yeterli değil
      Yine de herkesin kendi kararını vermesi gereken bir konu; ben kendi teknolojik cihazlarımın zaten hepsinde arka kapı varmış gibi davranmaya karar verdim. Emin olmaya yetecek kanıt değil, ama gizliliğe verdiğim önem düşünüldüğünde benim için yeterli
    • İnsanlar, nükleer tesisleri ziyaret eden kişilerin telefonlarını gizlice takip edip evlerine kadar izleyen çok havalı bir gizli hack operasyonu hayal etmek istiyor
      Ama çok daha mantıklı açıklama, birilerinin MEAF’ta alt düzey bir çalışanla temas kurduğu ve o çalışanın, çocuklarının yurt dışında seçkin bir üniversitede tam burs alması karşılığında hükümet organizasyon şeması ve maaş kayıtlarını içeren bir USB teslim ettiği yönünde
    • İran’ın cep telefonu şebekesi sistemlerinin neredeyse tamamını başta Koreli şirketler kurmuştu
      Bir kısmı Çin markalarıyla değiştirildi, ancak ele geçirilmiş Kore markalı ekipmanların hâlâ kaldığı anlaşılıyor
    • Burada hava durumu uygulamaları en kötü örneklerden biri
      Konum erişim izni verirseniz, neredeyse hepsi konum bilgisini veri brokerlarıyla paylaşır
      Bugün hava durumuna bakarsınız, yarın bombalanırsınız
  • Link kapalı olduğu için bırakıyorum:
    https://web.archive.org/web/20250506145643/https://smex.org/...
    Orijinal metin AppCloud’un ne olduğuna dair epey şeyi atlamış; özünde Samsung’un amiral gemisi olmayan cihaz kullanıcılarından gelir elde etme yöntemi ve bildirim alanına kurulum reklamı koymayı ya da uygulamaları sessizce yüklemeyi de mümkün kılıyor
    Şahsen bunu kendi cihazımda fark etseydim, dişimi sıkıp sonunda kişisel kullanım için bir Apple cihazına geçmeme yol açacak son damla olurdu

    • Samsung almayınca olmuyor mu? Kendi telefon markamın benzer şeyler yapmadığından emin olamam, ama en azından henüz haber olmadı
    • Android’i bırakmaya gerek yok. Fairphone var: https://fairphone.com
      Varsayılan Android de gayet iyi; daha fazla gizlilik istiyorsanız e/OS/ kurulumu da çok kolay
      Herhangi bir durumda Samsung ürünü almanın mantıklı olduğu sonucuna varan insanların olması şaşırtıcı
    • 5 yıllık bir iPhone alınabilir. Ucuz telefonlardan hâlâ daha iyi olma ihtimali yüksek, daha uzun destek alır ve ikinci el fiyatı da dip seviyededir
      Yakın zamanda iPhone XS’imi değiştirdim; ihtiyaçtan değil, yeni modelin nasıl olduğunu görmek istediğim için
      iPhone 16’nın neredeyse daha iyi denemeyecek kadar az fark yarattığını, XS’in hâlâ çoğu orta sınıf Android cihazın çok ilerisinde olmasına rağmen ikinci el fiyatının ne kadar düşük olduğunu görünce şaşırdım
    • Aynı şeyi amiral gemisi telefonlarda da yaptıklarını kesin olarak söyleyebilirim. Özellikle operatör sürümü cihazlarda böyle; bizzat yaşadım
      Adını hiç duymadığım bir uygulamadan birkaç kez bildirim geldiğini gördüm
      Son zamanlarda aklımdan sürekli şu geçiyor. Samsung’un telefonumda sessizce böyle şüpheli işler yapması; tarayıcıda ya da webview’da metin seçince ortaya çıkan Galaxy AI dayatması, kaldırılamayan özellikler ve berbat Samsung Pay arayüzü gibi can sıkıcı şeylerle birleşince, cihaz seçimimi her gün sorgular hale geliyorum
  • “Kaldırılamaz” kısmı tam doğru değil
    Sistem bölümünde olduğu için tamamen kaldırılamaz, ama muhtemelen adb komutuyla devre dışı bırakılabilir:
    adb shell pm uninstall --user 0 com.package.name
    Bu komut, ayarlarda “devre dışı bırak” seçeneği griye düşürülmüş uygulamalar dahil her uygulamada çalıştığı için çok güçlü. Örneğin kendi S9'umda Galaxy Store'u bu yöntemle devre dışı bırakmıştım

    • “Kaldırılamaz” deyip ardından “tamamen kaldırılamaz” diyorsanız, İngilizcem çok kötü değilse bu tam da kaldırılamazın tanımı gibi geliyor
    • Samsung telefon kullanırken ben de aynısını yaptım
      Buraya küçük bir rehber de yazmıştım (https://harigovind.org/notes/removing-samsung-android-bloatw...)
      Yine de sistem güncellemelerinden sonra bu uygulamalar hemen geri geliyordu ve güncelleme sıklığı da giderek arttı
      Çok geçmeden elden çıkardım; artık görece daha az bloatware içeren Moto kullanıyorum
    • Bu yöntem her telefonda çalışmaz
      Motorola gibi bazı üreticiler, nodisable özelliğini kullanarak bu APK'ların ve başka APK'ların devre dışı bırakılmasını engelliyor
      2025 Motorola RAZR 5G cihazımdaki /product/etc/nondisable içinde Dish Wireless, Tracfone/Verizon Value, T-Mobile, Amazon App Manager'a ait operatör ve aktivasyon uygulamalarını; finansman sağlayıcısı PayJoy'un sunduğu 2 uygulamayı ve Claro'nun dahili kullanımına yönelik 1 uygulamayı listeleyen XML dosyaları var
      PayJoy, finansman ürününün geri alınması için telefonu kilitleyip devre dışı bırakıyor; Claro tarafı da PayJoy'a benzer şekilde çalışıyor
    • Kelimelerin yalnızca harfi harfine teknik anlamları yoktur
      Telefonun kendisi, basit ve kullanıcı dostu normal yoldan kaldırmaya izin vermiyorsa, çoğu kullanıcı için pratikte kaldırılamaz demektir
      adb shell gibi şeyler, söz konusu aracın düzgün kurulu olduğu bir PC bulunduğunu varsayar; zaten PC'si olmayan çok kişi var
      Üstelik adb kurulumu, doğru ayarlar, bağlantı kablosu, hata ayıklama modunu açma ve komutu çalıştırma da gerekir
      Bu, evde kendi başına yapılacak bir işten çok servis merkezi işi gibi; otomobilde “chip tuning” yapmaktan pek farklı değil
    • Samsung'un gerçekleri çarpıtması için para alan ayrı bir PR ekibi var; böyle bir şey yapacaksanız en azından para alın
      Zaten kaldırılamadığını kabul ettiniz; üstelik emin olmadığınız shell işlemleriyle ancak devre dışı bırakılabiliyorsa, her güncellemede neredeyse kesin olarak geri geleceği anlamına gelir
  • Bu yazı beklediğimden daha hızlı ve daha fazla öne çıktığı için biraz ekleme yapmak istiyorum
    MENA bölgesi genelinde de benzer vakalar var gibi görünüyor
    SMEX yazısı ağırlıklı olarak WANA'ya odaklanıyor, ancak MENA bölgesinde Samsung'un benzer uygulamalarını ele alan başka haberler de ([1]) bulunabiliyor
    Yalnız orada buna “AppCloud” değil “Aura” diyorlar
    [1] https://www.moroccoworldnews.com/2025/06/212144/samsung-embe...

    • Aynı şey. SMEX Lübnan merkezli ve (S)WANA, MENA için son dönemde dolaşan sinir bozucu bir terim
    • WANA ile MENA arasındaki fark ne? Aynı bölge gibi geliyor
    • Eskiden kurumsal mobil cihaz filolarını yönetiyordum
      Bu AppCloud çöpü Europe Open Market cihazlara da itilmişti
      Bildiğim kadarıyla bunun kurumsal cihazlara yüklenmemesi gerekiyordu. MDM ile yönetilen Android Enterprise mıydı, E-FOTA yönetimi miydi tam hatırlamıyorum
      Samsung temsilcileriyle epey tuhaf konuşmalar yaptık
    • Avustralya'da aldığım cihazımda da yüklüydü
  • AppCloud, tartışmalı İsrail kökenli şirket ironSource tarafından geliştirildi ve şu anda Amerikan şirketi Unity'ye ait
    Evet, o Unity 3D engine şirketi

    • Artık Unity de yalnızca bağlantısı nedeniyle kötü amaçlı yazılım sayılabilir
    • O birleşmenin en tuhaf kısmı, Unity'nin IronSource'a 4,4 milyar dolar ödemesiydi
  • Avrupa ve Kuzey Amerika da aynı
    Samsung cihazlarda AppCloud var
    Bazen en baştan geliyor, bazen sistem güncellemesinden sonra çıkıyor, bazen de güvenlik güncellemesinden sonra geliyor. Güvenlik güncellemesi olması ironik
    Operatör kilitli olup olmamasıyla da ilgisi yok
    Cihaz ayarlarındaki uygulama listesinde “sistem uygulamalarını göster” anahtarını açtıktan sonra ancak göründüğü durumlar da var
    Galaxy S serisinde de bulunduğuna dair çok sayıda rapor var
    Bu AppCloud gerçekten akıl almaz

  • Bu yazıda teknik ayrıntı neredeyse yok ve yazarların iddialarına dair kanıtlar da zayıf
    Meraklı ve entelektüel bir analizden çok, duygusal tepki hedefleyen bir öfke tetikleme yazısı

    • Bu, okuru ikna etmeye çalışan bir makaleden ziyade Samsung'a gönderilmiş bir açık mektup gibi
      En azından şeffaflık talep edildiği sonucunu çıkarabiliriz sanırım
  • “Sıradan bir kullanıcının root erişimi olmadan bunu kaldırması neredeyse imkânsız; root atmak garantiyi geçersiz kılar ve güvenlik riski yaratır” türünden sözleri tekrarlamamalıyız
    Bu, mevcut aptalca durumu yaratan kurumsal propagandayı aynen yinelemek olur
    Sahip olunan cihazda root erişimine sahip olmak temel bir hak olmalı; değilse bu sahiplik değildir

    • Donanım üreticisi olmayan üçüncü tarafların geliştirdiği yazılımları çalıştırabilen tüm donanım cihazlarını genel amaçlı bilişim cihazı olarak tanımlayan bir yasaya ihtiyaç var
      Böyle cihazlarda kullanıcının çalıştırmak istediği yazılıma kriptografik ya da başka kısıtlamalar getirilememeli
      Bu, düşük seviyeli donanım denetleyicileri dâhil cihazın tüm programlanabilir bileşenleri için geçerli olmalı
      Bu tür kısıtlamalar belirli bir cihazın dışına da taşar
      Ticari aktörlerin, istemci cihazın yazılım yığını için uzaktan doğrulamayı zorunlu kılan ve doğrulamanın başarısız olması gerekçesiyle hizmet sağlayıcının istemciyi reddetmesine izin veren güvenlik düzeneklerini uygulaması da yasa dışı olmalı
      Hizmet sağlayıcıların kendilerini korumak için başka yolları var
      Kullanıcının kendi cihazını kontrol etmesini engellemek aşırı ve gereksiz ölçüde sert bir yaklaşım; sonunda yalnızca yazılım yığınını yapan reklam şirketlerine yarar. Çünkü kullanıcıların hangi yazılımları çalıştırabileceğini kısıtlayarak kâr ediyorlar
      Örneğin, reklamları atlatacak şekilde video oynatıcıyı değiştirmeyi engellemekle ilgileniyor olabilirler
    • Artık o kadar geriye gittik ki, root atmanın güvenlik açısından dezavantajlı olacağı mimari olarak garanti altına alınmış durumda değil mi?
      Örneğin doğrulanmış önyüklemeyi engelliyor; çünkü bu doğrulama kullanıcıya değil, söz konusu şirketlere bağlı
    • Son dönemde Switch 2’nin “donanım kullanım lisansı”, donanıma gerçekten sahip olma ve onunla istediğini özgürce yapabilme fikrini tamamen öldürmüş gibi görünüyor
      Özellikle Afrika’da gizlilik ve tüketici haklarının ABD ya da AB’ye kıyasla daha az önemli görülmesi muhtemel
    • İyi bir nokta
      “Telefonu rootlarsanız garanti geçersiz olur ve güvenlik riski doğabilir” cümlesi olgusal olarak yanlış değil; ama olgu ifadesini değer yargısıyla aynı şey gibi düşünürsek çok sorunlu hâle gelir
      Benzer şekilde “dikkat etmezsen ateşte yanabilirsin” demek de epey dolambaçlı bir ifade. Çünkü birçok insan yemek ve ısınma için ateşe bağımlı
    • Mevcut hukuki gerçeklik kurumsal propaganda olabilir, ama yalnızca kurumsal propaganda değil; aynı zamanda fiili hukuki gerçeklik
      Birçok yargı alanında “root erişimi garantiyi geçersiz kılar” bir gerçek. Bunun nasıl o noktaya geldiğinden bağımsız
      Dolayısıyla propaganda yayarak belirli bir amacı ileri taşımaktan ziyade, sadece olanı olduğu gibi söylemeye daha yakın
  • Samsung Koreli bir şirket
    Kore’nin ABD’nin korumasına ihtiyacı var
    Kore’den çıkan her şeyin NSA’in kutsaması altında olduğunu varsaymak gerekir

  • Akıllı telefondan vazgeçtim
    Hepsi kabullenmesi zor derecede kötü ve çoğu hayata değer katmaktan çok değer götürüyor
    İş için DUO çalıştırmada gereken sertifika yüzünden sadece 50 dolarlık bir Android tabletim var; onun dışında her şeyi modem kartı ve VOIP bulunan bir UMPC ile hallediyorum

    • Kötü yanları çok, ama GPS haritaları çok seyahat eden biri için inanılmaz değerli
      İşletme yorumları ve toplu taşıma bilgileri için Google Maps, yürüyüş rotaları için OSMAnd kullanıyorum
      Ayrıca tüm verileri Google’a göndermekten gerçekten nefret ediyorum ama İngilizce konuşulmayan ülkelerde iletişim kurarken Google Translate uygulaması vazgeçilmez