Miliony użytkowników smartfonów Samsung Galaxy w regionach Azji Zachodniej i Północnej Afryki (WANA/MENA) nieświadomie noszą w kieszeniach izraelską technologię nadzoru, wbudowaną w ich urządzenia.
Chodzi o fabrycznie zainstalowaną aplikację AppCloud, zwaną również Aura, która jest potajemnie zbierającym dane narzędziem na milionach urządzeń Samsung, którego użytkownicy nie mogą w pełni usunąć.
Aplikacja została opracowana przez firmę IronSource z Tel Awiwu, obecnie należącą do Unity Technologies, która ma kontrowersyjną historię w sektorze technologicznym, dotyczącą kwestionowanych praktyk w zakresie zgody użytkownika i prywatności danych.
AppCloud jest domyślnie osadzony w modelach smartfonów Samsung Galaxy serii A i M przeznaczonych dla regionu WANA, co jest wynikiem rozszerzonego partnerstwa między Samsung MENA a IronSource z 2022 roku.
Choć IronSource określa aplikację jako „warstwę rekomendacji” do sugerowania gier i aplikacji, w rzeczywistości funkcjonuje ona jako kompleksowy system gromadzenia danych, monitorujący zachowanie użytkowników, informacje o urządzeniu i dane o lokalizacji. Zbiór danych jest zarówno szeroki, jak i inwazyjny.
AppCloud i powiązana z nim platforma Aura gromadzą unikalne odciski cyfrowe urządzenia (device fingerprints), adresy IP (umożliwiające śledzenie geolokalizacyjne), dane o lokalizacji (w czasie rzeczywistym i historyczne), wzorce użytkowania aplikacji, a w niektórych konfiguracjach także identyfikatory biometryczne oraz szczegółowe informacje o systemie operacyjnym i sieci.
Taka skala wpływa na potencjalnie miliony użytkowników, ponieważ serie Galaxy A i M należą do najlepiej sprzedających się linii Androida na świecie.
Jednym z najbardziej niepokojących aspektów jest to, że AppCloud jest instalowany na urządzeniach bez wyraźnej zgody konsumenta podczas zakupu lub konfiguracji telefonu. Ponadto, oprogramowanie to jest zaprojektowane tak, aby było praktycznie niemożliwe do usunięcia przez przeciętnego użytkownika.
Aplikacja jest zintegrowana na poziomie systemowym, co oznacza, że brakuje standardowej opcji „Odinstaluj”. Pełne usunięcie AppCloud wymaga dostępu root (najwyższego poziomu kontroli w systemie), co jest skomplikowane technicznie i może unieważnić gwarancję urządzenia oraz potencjalnie stworzyć luki w zabezpieczeniach.
Nawet podstawowe wyłączenie aktywności AppCloud w ustawieniach aplikacji nie jest skutecznym rozwiązaniem długoterminowym, ponieważ użytkownicy zgłaszali, że aplikacja lub jej pakiet może pojawić się ponownie po aktualizacjach systemu.
Problemy z przejrzystością są poważne, gdyż AppCloud nie jest notowany w internecie, co sprawia, że kopia jego polityki prywatności i warunków korzystania z usługi jest niedostępna dla ogółu społeczeństwa. Aplikacja jest ukryta w systemie, a jej warunki są niedostępne z poziomu telefonu bez odpowiedniego monitu.
W efekcie, użytkownicy nie wiedzą, jakie dane są zbierane ani w jaki sposób są wykorzystywane. Chociaż ustawienia prywatności sugerują, że zbieranie danych można wyłączyć, pełne usunięcie wymaga przesłania formularza, który nie istnieje.
Zdaniem ekspertów ds. prywatności, ten mechanizm zgody narusza standardy, takie jak europejskie RODO (GDPR), które wymagają, aby wycofanie zgody było tak samo łatwe, jak jej wyrażenie.
Samsung nie przedstawił publicznego, szczegółowego oświadczenia dotyczącego uprawnień i zbierania danych przez AppCloud. Firma broni partnerstwa jako sposobu na poprawę komfortu użytkowania, ale krytycy twierdzą, że nie rozwiązuje to fundamentalnych problemów z prywatnością i zgodą.
Firma IronSource, z siedzibą w Tel Awiwie, jest niesławna z powodu kwestionowanych praktyk. Jej poprzedni program, „Install Core”, był krytykowany za potajemne instalowanie programów na urządzeniu użytkownika bez pozwolenia i omijanie kontroli bezpieczeństwa. IronSource była również częścią ugody w ramach pozwu zbiorowego, dotyczącego śledzenia i targetowania dzieci w grach w celu wymuszenia drapieżnych zakupów.
Więź AppCloud z izraelską firmą budzi poważne pytania prawne i etyczne w regionie, gdzie izraelskim firmom prawnie zakazuje się prowadzenia działalności w kilku krajach. Na przykład Liban bojkotuje produkty izraelskich firm od 1955 roku. Co więcej, AppCloud/Aura jest umieszczana w kontekście szerszego izraelskiego ekosystemu nadzoru, co wywołuje obawy dotyczące potencjalnych możliwości zbierania danych wywiadowczych.
Organizacja praw cyfrowych Social Media Exchange (SMEX) była w czołówce dochodzeń w sprawie AppCloud i ostrzegła, że to izraelskie oprogramowanie stanowi poważne zagrożenie inwigilacyjne. W liście otwartym do Samsunga SMEX zażądał pełnego ujawnienia polityki prywatności AppCloud, udostępnienia prostego i skutecznego sposobu na rezygnację z usługi i usunięcie jej z urządzeń bez naruszania gwarancji, a także jasnego wyjaśnienia decyzji o preinstalacji.
Adwokaci prywatności wzywają również do przestrzegania regionalnych przepisów, ponieważ AppCloud może naruszać prawa ochrony danych osobowych w krajach takich jak Egipt, ZEA i Arabia Saudyjska, które wymagają wyraźnej zgody.
Sytuacja AppCloud jest postrzegana jako ilustracja szerszego problemu w ekosystemie Androida, gdzie producenci przedkładają partnerstwa biznesowe nad prywatność i kontrolę użytkownika, co podważa zaufanie konsumentów.