Samsung, WANA bölgesindeki akıllı telefonlara IronSource casus yazılımı AppCloud’u zorla ön yüklüyor

 (smex.org)
1 puan yazan GN⁺ 2025-06-22 | 1 yorum | WhatsApp'ta paylaş
  • Samsung’un A ve M serisi akıllı telefonlarına, kullanıcı onayı olmadan AppCloud adlı bir bloatware ön yüklendi
  • Söz konusu AppCloud, ironSource (İsrail’de kurulmuş bir şirket, şu anda Unity’nin sahibi olduğu) tarafından geliştirildi ve hassas bilgi toplaması ile kaldırılamaması nedeniyle tartışma yaratıyor
  • Gizlilik politikası şeffaf değil; kullanıcılara hangi verilerin toplandığı ve nasıl kullanıldığı bildirilmiyor
  • Zorunlu kurulum yöntemi, bölgesel veri koruma yasaları ve GDPR ihlali riski taşıyor
  • SMEX gibi kuruluşlar Samsung’dan şeffaflık, silme seçeneği sunulması ve gelecekte ön yüklemenin durdurulmasını talep ediyor

Sorun: WANA bölgesindeki Samsung telefonlarda zorunlu bloatware kurulumu tartışması

  • Son dönemde Batı Asya ve Kuzey Afrika (WANA) bölgesindeki kullanıcılardan, Samsung akıllı telefonlara neredeyse bilinmeyen ve müdahaleci bir bloatware olan AppCloud’un ön yüklendiğine dair çok sayıda bildirim toplandı
  • Kullanıcı onayı veya önceden bilgilendirme olmadan kuruluyor; hassas kişisel veri toplama, kaldırılamama ve gizlilik politikasındaki şeffaflık eksikliği gibi ciddi endişeler doğuruyor

AppCloud ve ironSource

  • AppCloud, ironSource (İsrail’de kuruldu, şu anda Unity’ye ait) tarafından geliştirildi ve şirketin niteliği ile bölgesel hukuki kısıtlamalar nedeniyle ek yasal ve etik tartışmalar ortaya çıkıyor
  • Samsung, AppCloud’un işlevleri, topladığı veriler ve kullanıcının seçim hakları konusunda hiçbir şeffaflık sağlamıyor

SMEX’in açık mektuptaki talepleri

  • Samsung’dan AppCloud’un gizlilik politikası, veri işleme biçimi, silme/devre dışı bırakma yöntemleri hakkında acil açıklama yapması istendi
  • Gelecekte cihazlara ön yükleme kararlarında mahremiyet hakkının gözetilmesi tavsiye edildi ve konunun görüşülmesi için bir toplantı talep edildi

AppCloud kurulumunun kapsamı ve endişeler

  • 2022’de Samsung ile ironSource arasındaki iş birliğinin genişlemesinden sonra, A ve M serisi yeni ürünlerde AppCloud varsayılan olarak kurulu gelmeye başladı
  • SMEX analizine göre bu yazılım, işletim sistemi (O/S) içine derinlemesine entegre olduğu için kullanıcı yetkileriyle kaldırılamıyor
  • Root erişimi olmadan silinemiyor ve devre dışı bırakılsa bile sistem güncellemeleri sırasında geri yükleniyor

Gizlilik politikasındaki şeffaflık eksikliği

  • AppCloud’un bir gizlilik politikası yok ya da ilgili bilgilere erişilemiyor
  • Hangi verileri topladığı ve kullandığı, bunları nasıl koruduğu konusunda şeffaf bilgi sunulmuyor
  • Hassas kullanıcı verileri de dahil olmak üzere (biyometrik veriler, IP, cihaz tanımlayıcı bilgileri vb.) kişisel veriler topluyor

Onaysız kurulum ve olası yasa ihlalleri

  • AppCloud, kullanıcı onayı olmadan otomatik olarak kuruluyor; bu durum GDPR ve WANA ülkelerindeki veri koruma yasalarının ihlali anlamına gelebilir
  • ironSource’un bölgesel mevzuat nedeniyle bazı ülkelerde (ör. Lübnan) faaliyet göstermesinin yasak olması da ek yasal ve etik sorunları öne çıkarıyor

Samsung kullanım şartlarındaki sorunlar

  • Hizmet kullanım şartları yalnızca üçüncü taraf uygulamalardan genel olarak söz ediyor; ironSource veya AppCloud hakkında somut bir bilgilendirme yok
  • Geniş çaplı veri erişimi ve kontrol yetkilerine sahip AppCloud için ayrı bir bildirim bulunmaması, şeffaflık eksikliğine işaret ediyor

Kullanıcı haklarının ihlali ve pazar etkisi

  • AppCloud’un zorla kurulması, kullanıcının mahremiyet ve güvenlik haklarının ihlali anlamına geliyor; Samsung’un bölgedeki ezici pazar payı düşünüldüğünde bunun ciddi toplumsal etkiler doğurabileceğinden endişe ediliyor
  • Bu durum karşısında kuruluşlar şu taleplerde bulunuyor:
    • AppCloud’un kişisel veri işleme ve veri kullanım yöntemlerinin tamamen açıklanması ve bunlara erişimin güvence altına alınması
    • Opt-out ve tamamen silme yöntemlerinin açık biçimde anlatılması ve cihaz kararlılığını bozmadan uygulanabilmesinin sağlanması
    • WANA bölgesindeki A ve M serisi cihazlara ön yükleme kararının nedenlerinin net biçimde açıklanması
    • Gelecekte yeni ürünlere ön yükleme kararının tamamen yeniden değerlendirilmesi ve mahremiyet hakkının güvence altına alınması (İnsan Hakları Evrensel Bildirgesi Madde 12 temelinde)
    • Kullanıcı mahremiyeti ve veri koruma politikaları konusunda Samsung yetkilileriyle somut görüşme yapılması
  • Kullanıcıların mahremiyeti ve güvenliği için Samsung’un hızlı bir yanıt vermesi ve iş birliği yapması bekleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-22
Hacker News görüşleri

  • Şirketlerin reklam amaçlı yürüttüğü kitlesel gözetim ile devlet istihbarat kurumlarının gözetimi arasında, yakın zamanda İranlı üst düzey nükleer bilim insanları ve askeri yetkililerin evlerinde hedef alınması olayında olduğu gibi, yakın bir bağ olduğundan şüpheleniyorum. Hangi ülke olursa olsun, hangi tarafta olursa olsun, artık “yarı kamusal” verilerle bile (şirketlerin sattığı müşteri bilgileri ya da casusluk işlevi yerleştirilmiş uygulamalar gibi) bir kişi hakkında fazlasıyla çok şey çıkarım yapılabildiği konusunda herkes hemfikir olacaktır. İstihbarat kurumları artık veri toplamayı piyasaya outsource edebildiği için bu, geleneksel yöntemlerden çok daha ucuz ve kullanışlı hale geldi. Uzun zamandır “mahremiyet bir insan hakkıdır” çağrısı görmezden gelindi, ama umarım yakında siyasetçiler de mahremiyetin bir ulusal güvenlik meselesi olduğunu fark eder

    • Gerçek, Overton Window’un (toplumsal ve siyasi olarak kabul gören tartışma aralığı) dışında kalan bir gerçeklik. Drone çağında mahremiyet sivil savunmanın bir meselesi olmasına rağmen, mevcut devletlerin kitlesel PII (kişisel tanımlayıcı bilgi) veritabanı yapısının kendisi zaten bu zafiyeti barındırıyor. İsyancı gruplar bu veritabanlarını ele geçirip hedefleme yapabilir; devletler ise sonunda sadece eski tip toprak kontrolü yanılsamasına tutunmuş olur. Kontrol, geçmişe kıyasla birkaç tahkim edilmiş gizli tesise kadar daralacak ve önümzdeki dönemin hem son derece öngörülemez hem de aşırı şiddetli olacağı hissine kapılıyorum

    • Çoğu zaman birinin nükleer tesisi ziyaret edenleri akıllı telefon hack’leyerek gizlice izlediği casus filmlerindeki operasyonları hayal ediyoruz, ama çok daha mantıklı açıklama şu gibi geliyor: MEAF’teki (İran Enerji Kurumu) alt düzey bir çalışana ulaşıp ondan devlet organizasyon şeması ve maaş kayıtlarını içeren bir USB almak, karşılığında da çocuğunun ünlü bir yabancı üniversitede burs kazanmasını sağlamak

    • İran’ın hücresel iletişim ağı sisteminin büyük kısmı başlangıçta Koreli şirketler tarafından kurulmuştu; sonrasında bir bölümü Çin markalarıyla değiştirildi ama sorunlu Kore menşeli ekipmanın hâlâ kaldığını duydum

    • Bu tür yüksek değerli hedefler (İranlı generaller/bilim insanları vb.) bir kez tespit edildi mi, sonrasında uydularla sürekli takip etmek mümkün. Santimetre hassasiyetinde konum gerekmez; hangi binanın bombalanacağına karar verecek kadar bilgi yeterli

    • Hava durumu uygulamaları, konum bilgisini broker’larla paylaşan en kötü aktörlerden biri. Bugün havaya bakıyorsun, yarın bombalanma riskin artıyor

  • Orijinal bağlantı (https://web.archive.org/web/20250506145643/…) kapalı olduğu için paylaşıyorum. Haberde AppCloud’un ne olduğu düzgün anlatılmıyor ama özünde Samsung’un amiral gemisi olmayan cihaz kullanıcılarından gelir elde etme yöntemi; bildirim alanına reklam yerleştirebiliyor ya da gizlice uygulama kurabiliyor. Cihazımda böyle bir şey bulsam artık katlanmaz, Apple ürünlerine geçerdim

    • İnsan doğrudan Samsung almamayı düşünmüyor mu? Elbette benim telefon markam da benzer bir şey yapıyor olabilir ama en azından henüz haberlere çıkmadı diye nispeten içim rahat

    • Kendi deneyimime göre amiral gemisi modellerde, özellikle operatör sürümlerinde de aynısı oluyor. Daha önce hiç görmediğim uygulamalardan bildirimler gelmeye devam ediyor; son dönemde Samsung’un Galaxy AI’ı zorla yüklemesiyle (tarayıcıda metin seçince asla kaybolmuyor) ve arayüz şikayetleriyle birlikte her gün seçimimden pişman oluyorum

    • 5 yıllık bir iPhone’u ikinci el almak ucuz oluyor, destek süresi uzun ve performansı da ucuz telefonlardan daha iyi. Ben XS’ten yeni modele geçtim ama 16 da çok farklı hissettirmiyor, onun bile ikinci el değeri çok düşmüş diye şaşırdım. Eski iPhone’lar çoğu Android orta segment telefondan çok daha akıcı

    • Android’i bırakmak gerekmiyor. Fairphone da var: https://fairphone.com. Stok Android gayet iyi, mahremiyet istiyorsan e/OS/ kurmak da aşırı kolay. İnsanların hâlâ Samsung cihaz almaya değer olduğuna nasıl karar verdiğini gerçekten anlamıyorum

  • “Kaldırılamaz” kısmı tam doğru değil. Tamamen silinemiyor ama sistem bölümünde olduğu için çoğu durumda adb komutuyla devre dışı bırakılabiliyor. Aşağıdaki komutla Galaxy Store’u da kapatmıştım

    adb shell pm uninstall --user 0 com.package.name

    • “unremovable” ise ama “tamamen silinemez” deniyorsa, bence bu zaten kaldırılmaz olmanın tanımı

    • Bu yöntem tüm telefonlarda çalışmıyor. Motorola gibi üreticiler ‘nodisable’ özelliğini kullanarak APK’ların devre dışı bırakılmasını bile engelliyor. 2025 model Motorola RAZR 5G cihazımda /product/etc/nondisable yolunda operatör ve finans şirketlerine ait uygulama adlarını belirten XML dosyaları var

    • Ben de Samsung telefonda aynı adb komutuyla kaldırdım ve yöntemi burada not ettim: https://harigovind.org/notes/removing-samsung-android-bloatware/. Ama bu uygulamalar her sistem güncellemesinde geri geldiği için sonunda Samsung’u bırakıp daha az bloatware olan bir Moto’ya geçtim

    • Samsung gerçeği süslemek için PR ekibine para harcıyor olmalı; en azından bunları savunacaksan senin de para alman gerekir diye düşünüyorum. Kendi başına silemediğini kabul ettin ve kabuk komutlarıyla kapatmak zorundaysan, sonuçta bu şeyler her güncellemede tekrar geliyor

    • Kelimelerin anlamı her zaman teknik ve harfi harfine olmak zorunda değil. Sıradan kullanıcılar bir uygulamayı kolay ve sezgisel şekilde silemiyorsa, pratikte o uygulama “kaldırılamaz” demektir. adb komutları; PC, kablo, adb kurulumu, hata ayıklama modu gibi şeyler gerektirdiğinden ortalama insan için neredeyse servis merkezi seviyesinde bir zorluk ve biraz da otomobil chip tuning işlerine benziyor

  • Bu yazı beklediğimden hızlı yayılıyor, o yüzden ek açıklama yapayım. MENA bölgesinin genelinde benzer vakalar görüldü. SMEX yazısı WANA’ya odaklanıyor ama MENA tarafında bu bazen “AppCloud” yerine “Aura” adıyla da biliniyor. İlgili haber: https://moroccoworldnews.com/2025/06/…

    • SMEX, Lübnan merkezli bir kuruluş ve (S)WANA ifadesi de bugünlerde MENA’nın yerine kullanılan yeni bir terim diye açıklanıyor

    • WANA ile MENA pratikte aynı bölge

    • Kurumsal mobil cihaz yönetimi yapıyordum. Bu AppCloud çok geniş çapta yüklenmişti; Avrupa açık pazar cihazları da dahildi. Özellikle kurumsal cihazlarda kesinlikle olmaması gerekirdi (kurumsal MDM ve E-FOTA ile yönetilen cihazlar dahil). Bu yüzden Samsung’la da biraz rahatsız edici konuşmalar yapmak zorunda kalmıştım

    • Avustralya’da satın aldığım cihazımda da kurulu çıktı

  • AppCloud, tartışmalı İsrailli girişim ironSource tarafından geliştirildi; yakın zamanda da ABD’li şirket Unity tarafından satın alındı

    • O zaman artık Unity’nin malware ile bağlantılı olduğuna dair şaka da yapılabilir

    • En garip birleşme, Unity’nin ironSource’u 4,4 milyar dolara satın almış olması

  • Samsung’un, 150 dolar altı Çin dışı akıllı telefonlar içinde (casus yazılım tartışması olmayan) tek seçenek olduğunu düşündüğüm için almayı değerlendiriyordum ama şimdi geriye pek net bir seçenek kalmadı. Açık kaynak firmware kurulabilen bir telefon varsa onu düşünürüm. Telefonuma güvenmediğim için önemli hiçbir bilgiyi saklamıyorum, giriş yapmıyor ve uygulama da kurmuyorum. Linux çalıştırmayan cihazlara zaten güvenmiyorum

  • Avrupa ve Kuzey Amerika’da da Samsung telefonlarda AppCloud yüklü geliyor. İlk kurulumda, sistem güncellemelerinden sonra, hatta güvenlik güncellemelerinden sonra bile kuruluyor (ironik biçimde!). Operatör kilitli olup olmamasından bağımsız ve bazen ancak ayarlarda “sistem uygulamalarını göster” açılınca görünüyor. Galaxy S serisi dahil pek çok kullanıcı bunu bildirmiş durumda. AppCloud meselesi bana tamamen saçma geliyor

  • Tedarik zinciri sorunu, modern güvenliğin en “cyberpunk” tarafı olabilir. Bu matematikle ilgili değil; güven, güç ve parayla ilgili. Müşterilerin de güvende olabileceği şekilde tedarik zincirine kriptografik doğrulama getirme ihtimali hâlâ var mı, yoksa artık çok mu geç ve geriye yalnızca cyberpunk distopyası mı kaldı diye merak ediyorum. Matematiğin bu tabloyu değiştirip değiştiremeyeceğini düşünüyorum

  • “Root olmadan kaldırılamaz, root yaparsan garanti bozulur + güvenlik riski oluşur” iddiası, bizi bu saçma duruma sokan şirket propagandasının birebir dili. Cihazın sahibi ben isem, root erişimi de doğal hakkım olmalı; gerçek mülkiyet ancak o zaman var demektir

    • Hukuken, üçüncü taraf yazılım çalıştırabilen tüm donanımlar genel amaçlı bilgi işlem cihazı sayılmalı ve kullanıcının çalıştırdığı yazılım üzerindeki kriptografik ya da başka tür kısıtlamalar (ör. secure boot, remote attestation vb.) yasaklanmalı. Bu cihazın tüm bileşenleri için de geçerli olmalı. Ayrıca sağlayıcıların remote attestation başarısız oldu diye hizmeti reddetmesi de (hizmet sağlayıcının kendini koruma gerekçesiyle bile olsa) yasaklanmalı. Bu tür kısıtlamalar sonuçta kullanıcı yerine sadece reklam şirketlerine yarıyor (ör. video oynatıcıyı değiştirip reklam atlamayı engellemeleri gibi)

    • Mevcut yapıda root yapınca güvenlik kaybının kaçınılmaz hale gelmesi de başlı başına yapısal bir sorun. Verified Boot kullanılamaması da, attestation’ın şirkete bağlı olması da aynı sorunun parçası

    • Son zamanlarda bu, “donanım kullanım lisansı” gibi bir şeye dönüştü ve bana ait cihazı özgürce kullanma hakkım bile elimden alınıyor. Özellikle ABD/Avrupa dışındaki bölgelerde, örneğin Afrika’da mahremiyet ve tüketici hakları kavramı çok daha zayıf

    • Mevcut hukuki gerçeklik hem şirket propagandasının sonucu hem de fiili bir gerçeklik. “root access voids warranty” ifadesi zaten birçok bölgede gerçekten doğru. Bu yüzden bunu tekrarlamak propaganda değil, daha çok mevcut durumu tarif etmek

    • “Root garanti dışı bırakır ve güvenlik riskidir” cümlesinde yanlış bir şey yok; ama olgusal durumu doğrudan değer yargısıyla eşitlemek karmaşık bir mesele. Örneğin “ateş yakabilir” uyarısı nasıl gerçekte pek çok insanın yemek yapmak ya da ısınmak için ateşe bağımlı olması gerçeğini tek başına anlatmıyorsa, bu da öyle aşırı basitleştirici kalıyor

  • Bu alanın uzmanı değilim ama eğer performanstan feragat edip sadece güvenliğe odaklanılsa (kapalı Batılı donanımı dışlayarak), üst düzey donanım ve yazılım ekipleri bir araya gelip gerçekten güvenli bir akıllı telefon yapabilir mi diye merak ediyorum. Örneğin doğrulanmış bir microkernel, varsayılan tam şifreli mesajlaşma, şifreli bellek, süreçler arası iletişim şifrelemesi, modem/çevre birimleri/batarya için fiziksel anahtarlar gibi şeyler bile oldukça anlamlı olurdu

    • Ama teknik olarak mümkün olup olmamasının sermayenin gücü karşısında pek önemi yok. Sermaye, kendi başına kontrol edemediği cihazlara asla izin vermez. Gerçekten güvenli bir cihaz sonuçta sadece bir hayal olarak kalır

    • Yeterince doğrulanmış bir microkernel’ı üretim aşamasında kullanılacak düzeye getirmek muazzam bir mühendislik işi olurdu