Samsung ने WANA क्षेत्र के स्मार्टफोन्स में IronSource स्पायवेयर AppCloud को जबरन प्रीइंस्टॉल किया

 (smex.org)
1 पॉइंट द्वारा GN⁺ 2025-06-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Samsung के A और M series smartphones में यूज़र की सहमति के बिना AppCloud नाम का bloatware प्रीइंस्टॉल किया गया
  • यह AppCloud ironSource (इज़राइल में स्थापित कंपनी, अब Unity के स्वामित्व में) द्वारा विकसित किया गया है, और संवेदनशील जानकारी एकत्र करने तथा हटाया न जा सकने की वजह से विवाद में है
  • इसकी privacy policy पारदर्शी नहीं है, और यूज़र्स को कौन-सा डेटा एकत्र किया जा रहा है और उसका कैसे उपयोग हो रहा है इसकी जानकारी नहीं दी जाती
  • जबरन इंस्टॉल करने का यह तरीका क्षेत्रीय data protection laws और GDPR के उल्लंघन की आशंका पैदा करता है
  • SMEX जैसे संगठनों ने Samsung से पारदर्शिता, delete option उपलब्ध कराने, और भविष्य में प्रीइंस्टॉल रोकने की मांग की है

मुद्दा: WANA क्षेत्र के Samsung फ़ोनों में जबरन bloatware इंस्टॉल होने पर विवाद

  • हाल में पश्चिम एशिया और उत्तर अफ्रीका (WANA) क्षेत्र के यूज़र्स से बड़ी संख्या में शिकायतें मिली हैं कि Samsung smartphones में लगभग अज्ञात intrusive bloatware AppCloud प्रीइंस्टॉल मिल रहा है
  • यह यूज़र की सहमति या पूर्व सूचना के बिना इंस्टॉल होता है, और संवेदनशील व्यक्तिगत जानकारी के संग्रह, हटाया न जा सकने, तथा privacy policy में पारदर्शिता की कमी जैसी गंभीर चिंताएँ उठी हैं

AppCloud और ironSource

  • AppCloud को ironSource (इज़राइल में स्थापित, वर्तमान में Unity के स्वामित्व में) ने विकसित किया है, और कंपनी की प्रकृति तथा क्षेत्रीय कानूनी प्रतिबंधों के कारण अतिरिक्त कानूनी और नैतिक विवाद भी पैदा हुए हैं
  • Samsung, AppCloud के फ़ीचर्स, एकत्र किए जाने वाले डेटा, और यूज़र के विकल्पों के बारे में कोई पारदर्शिता नहीं दे रहा है

SMEX के खुले पत्र की मांगें

  • Samsung से AppCloud की privacy policy, data processing methods, और delete/disable करने के तरीके सार्वजनिक करने की तत्काल मांग की गई है
  • भविष्य में डिवाइस प्रीइंस्टॉल के मामलों में privacy rights का ध्यान रखने की सिफारिश की गई है, और इस विषय पर चर्चा के लिए बैठक की भी मांग की गई है

AppCloud इंस्टॉलेशन की स्थिति और चिंताएँ

  • 2022 में Samsung और ironSource के बीच सहयोग बढ़ने के बाद, A और M series के नए मॉडलों में AppCloud डिफ़ॉल्ट रूप से इंस्टॉल किया जा रहा है
  • SMEX के विश्लेषण के अनुसार, यह software operating system (O/S) में गहराई से integrated है, इसलिए यूज़र permissions से इसे हटाना संभव नहीं है
  • rooting के बिना इसे हटाया नहीं जा सकता, और disable करने पर भी system update के दौरान यह फिर बहाल हो जाता है

privacy policy में पारदर्शिता की कमी

  • AppCloud की privacy policy या तो मौजूद नहीं है, या उस जानकारी तक पहुँचना संभव नहीं है
  • यह स्पष्ट नहीं किया जाता कि कौन-सा डेटा एकत्र और उपयोग किया जाता है, और उसे कैसे सुरक्षित रखा जाता है
  • यह संवेदनशील यूज़र डेटा, जैसे biometrics, IP, और device identifiers सहित, व्यक्तिगत जानकारी एकत्र करता है

बिना सहमति इंस्टॉलेशन और कानून उल्लंघन की आशंका

  • यूज़र की सहमति के बिना AppCloud अपने-आप इंस्टॉल हो जाता है, जिससे GDPR और WANA देशों के data protection laws के उल्लंघन की संभावना बनती है
  • ironSource के बारे में यह भी कहा गया है कि क्षेत्रीय नियमों के तहत कुछ देशों में (जैसे लेबनान) उसके व्यावसायिक संचालन पर रोक है, जिससे अतिरिक्त कानूनी और नैतिक प्रश्न उठते हैं

Samsung की terms of service में समस्या

  • service terms में केवल third-party apps का सामान्य रूप से उल्लेख है, लेकिन ironSource या AppCloud के बारे में कोई ठोस जानकारी नहीं दी गई है
  • बड़े पैमाने पर डेटा एक्सेस और नियंत्रण अधिकार रखने वाले AppCloud के लिए अलग से कोई सूचना नहीं दी गई, जिससे पारदर्शिता की कमी दिखती है

यूज़र अधिकारों का उल्लंघन और बाज़ार पर प्रभाव

  • AppCloud की जबरन इंस्टॉलेशन यूज़र privacy और security rights के उल्लंघन के दायरे में आती है, और WANA क्षेत्र में Samsung की भारी बाज़ार हिस्सेदारी को देखते हुए इसके गंभीर सामाजिक प्रभाव की आशंका है
  • इस स्थिति को लेकर संगठनों ने निम्न मांगें रखी हैं
    • AppCloud की privacy processing और data usage methods का पूर्ण खुलासा तथा उनकी सुलभ उपलब्धता
    • opt-out और पूर्ण deletion के तरीकों की स्पष्ट जानकारी, और डिवाइस की स्थिरता प्रभावित किए बिना उनका समर्थन
    • WANA क्षेत्र के A और M series डिवाइसेज़ में प्रीइंस्टॉल करने के निर्णय का स्पष्ट कारण
    • भविष्य के नए मॉडलों में प्रीइंस्टॉल पर पुनर्विचार, और privacy rights की गारंटी (Universal Declaration of Human Rights अनुच्छेद 12 के आधार पर)
    • यूज़र privacy और data protection policy से जुड़े Samsung अधिकारियों के साथ ठोस चर्चा के लिए बैठक
  • यूज़र्स की privacy और security के लिए Samsung से तेज़ प्रतिक्रिया और सहयोग की अपेक्षा की गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-06-22
Hacker News राय

  • मुझे शक है कि कॉरपोरेट विज्ञापन के लिए की जाने वाली बड़े पैमाने की निगरानी और राज्य की खुफिया एजेंसियों की निगरानी का हाल में ईरान के वरिष्ठ परमाणु वैज्ञानिकों और सैन्य अधिकारियों को उनके घरों में निशाना बनाए जाने की घटनाओं से गहरा संबंध है। किसी भी देश या किसी भी पक्ष में, अब तक सब इस बात से सहमत होंगे कि आजकल सिर्फ “अर्ध-खुले” डेटा (जैसे कंपनियों द्वारा बेची जाने वाली ग्राहक जानकारी या स्पाइवेयर जैसी सुविधाओं वाले ऐप) से भी किसी व्यक्ति के बारे में बहुत कुछ अनुमान लगाया जा सकता है। अब खुफिया एजेंसियां सूचना संग्रह को बाजार के हवाले कर सकती हैं, इसलिए यह पारंपरिक तरीकों की तुलना में कहीं सस्ता और सुविधाजनक हो गया है। लंबे समय तक “प्राइवेसी एक मानवाधिकार है” की बात को नजरअंदाज किया गया, लेकिन उम्मीद है कि जल्द ही राजनेता भी समझेंगे कि प्राइवेसी राष्ट्रीय सुरक्षा का मुद्दा है

    • सचाई Overton Window (सामाजिक और राजनीतिक रूप से स्वीकार्य बातचीत की सीमा) के बाहर की वास्तविकता है। ड्रोन के युग में प्राइवेसी नागरिक रक्षा का मुद्दा है, फिर भी मौजूदा राष्ट्रों की विशाल PII (व्यक्तिगत पहचान योग्य जानकारी) डेटाबेस संरचना में वही कमजोरी अंतर्निहित है। विद्रोही ताकतें ऐसे डेटाबेस चुराकर लोगों को निशाना बना सकती हैं, इसलिए राष्ट्र आखिरकार सिर्फ क्षेत्रीय नियंत्रण के पुराने भ्रम से चिपके रह जाएंगे। पहले की तुलना में नियंत्रण कुछ किलेबंद गुप्त ठिकानों तक सिमट जाएगा, और आगे की स्थिति बहुत अप्रत्याशित और बेहद हिंसक दिशा में जाएगी, ऐसा अंदेशा है

    • हम अक्सर ऐसी जासूसी-फिल्म जैसी कार्रवाई की कल्पना करते हैं जिसमें कोई परमाणु सुविधा पर आने वाले लोगों को स्मार्टफोन हैक करके गुप्त रूप से ट्रैक करता है, लेकिन मुझे लगता है कि कहीं अधिक तार्किक व्याख्या यह है कि MEAF (ईरानी ऊर्जा प्राधिकरण) के किसी निचले स्तर के कर्मचारी तक पहुंच बनाई जाए, उससे सरकारी संगठन-चार्ट और वेतन रिकॉर्ड वाला USB लिया जाए, और बदले में उसके बच्चे को किसी प्रसिद्ध विदेशी विश्वविद्यालय में छात्रवृत्ति दिला दी जाए

    • मैंने सुना है कि ईरान की सेलुलर संचार नेटवर्क प्रणाली का अधिकांश हिस्सा शुरू में कोरियाई कंपनियों ने स्थापित किया था, और बाद में उसका कुछ हिस्सा चीनी ब्रांडों से बदल दिया गया, लेकिन समस्याग्रस्त कोरियाई उपकरण अब भी बचे हुए हैं

    • ऐसे high-value target (ईरान के जनरल/वैज्ञानिक आदि) को एक बार ढूंढ लिया जाए तो फिर उपग्रह से लगातार ट्रैक किया जा सकता है। बिल्कुल सटीक लोकेशन की भी जरूरत नहीं, सिर्फ यह पता होना काफी है कि किस इमारत पर बम गिराना है

    • मौसम ऐप लोकेशन डेटा को brokers के साथ साझा करने वाले सबसे खराब दोषियों में से एक हैं। ऐसा दौर है कि आज मौसम देखो, कल बमबारी का जोखिम बढ़ जाए

  • मूल लिंक(https://web.archive.org/web/20250506145643/…) डाउन है, इसलिए साझा कर रहा हूं। लेख में AppCloud वास्तव में क्या है, यह ठीक से नहीं बताया गया, लेकिन असल में यह Samsung के non-flagship डिवाइस यूज़र्स से कमाई करने का तरीका है, और यह नोटिफिकेशन में विज्ञापन डाल सकता है या चुपचाप ऐप इंस्टॉल कर सकता है। अगर मुझे अपने डिवाइस में ऐसा कुछ मिले, तो मैं अब और बर्दाश्त नहीं करूंगा और Apple प्रोडक्ट्स पर चला जाऊंगा

    • मेरा तो सोचना है कि बस Samsung ही न खरीदो। हां, मेरा फोन ब्रांड भी ऐसा कर सकता है, लेकिन अभी तक खबरों में नहीं आया, इसलिए तुलनात्मक रूप से थोड़ी राहत है

    • मैं अनुभव से कह सकता हूं कि flagship मॉडल, खासकर carrier version भी, यही झेलते हैं। किसी ऐसे ऐप से बार-बार नोटिफिकेशन आते रहते हैं जिसे मैंने कभी देखा भी नहीं, और हाल में Samsung ने Galaxy AI को भी जबरन ठूंस दिया है (ब्राउज़र में टेक्स्ट चुनने पर यह कभी गायब नहीं होता), साथ ही इंटरफ़ेस से जुड़ी परेशानियां हैं, इसलिए मैं हर दिन अपनी पसंद पर पछताता हूं

    • 5 साल पुराना iPhone सेकंड-हैंड खरीदो तो कीमत कम होती है, सपोर्ट अवधि लंबी होती है, और सस्ते फोन से प्रदर्शन भी बेहतर मिलता है। मैं XS से नए मॉडल पर गया, लेकिन 16 भी बहुत अलग नहीं है, और उसका सेकंड-हैंड दाम इतना गिरा कि मैं हैरान रह गया। पुराने iPhone कई Android mid-range फोनों से कहीं ज्यादा स्मूद चलते हैं

    • Android छोड़ने की जरूरत नहीं है। Fairphone(https://fairphone.com) भी है। stock Android ठीक है, और अगर प्राइवेसी चाहिए तो e/OS/ इंस्टॉल करना भी बहुत आसान है। मुझे बिल्कुल समझ नहीं आता कि लोग अब भी Samsung डिवाइस खरीदने लायक कैसे मान लेते हैं

  • “हटाया नहीं जा सकता” वाला हिस्सा पूरी तरह सही नहीं है। पूरी तरह हटाया नहीं जा सकता, लेकिन सिस्टम पार्टीशन में होने की वजह से इसे अक्सर adb कमांड से disable किया जा सकता है। मैंने नीचे दिए गए कमांड से Galaxy Store भी बंद किया था

    adb shell pm uninstall --user 0 com.package.name

    • अगर “unremovable” है लेकिन “पूरी तरह मिटाया नहीं जा सकता”, तो मेरे हिसाब से वही तो हटाया न जा सकने की परिभाषा है

    • यह तरीका हर फोन पर लागू नहीं होता। Motorola जैसे निर्माता ‘nodisable’ फीचर का उपयोग करते हैं ताकि APK को disable करना भी रोका जा सके। मेरे 2025 मॉडल Motorola RAZR 5G में /product/etc/nondisable पथ के भीतर carrier और financial companies के ऐप नामों वाले XML फाइलें हैं

    • मैंने भी Samsung फोन पर वही adb कमांड से हटाया था, और उस तरीके(https://harigovind.org/notes/removing-samsung-android-bloatware/) को लिखकर रखा है। लेकिन सिस्टम अपडेट के साथ ये ऐप फिर से वापस आ जाते हैं, इसलिए आखिरकार मैंने Samsung फोन छोड़कर कम bloatware वाले Moto पर शिफ्ट कर लिया

    • Samsung सच को सजाने-संवारने के लिए PR टीम पर पैसा खर्च करता होगा, तो कम से कम अगर तुम यह सब कवर कर रहे हो तो तुम्हें भी पैसे मिलने चाहिए। तुमने खुद मान लिया कि इसे सीधे हटाया नहीं जा सकता, और इसे बंद करने के लिए shell command तक चलानी पड़ती है, ऊपर से हर अपडेट के साथ यह फिर लौट आता है

    • शब्दों का अर्थ हमेशा सिर्फ तकनीकी और शाब्दिक रूप में नहीं चलता। अगर आम यूज़र किसी ऐप को आसानी और सहज तरीके से हटा नहीं सकते, तो व्यवहार में वह "हटाया नहीं जा सकता" ही है। adb कमांड के लिए PC, केबल, adb इंस्टॉल, debugging mode वगैरह चाहिए, जो आम लोगों के लिए लगभग सर्विस सेंटर स्तर की कठिनाई है, कुछ-कुछ कार chip tuning जैसा मामला

  • यह पोस्ट उम्मीद से ज्यादा तेजी से फैल रही है, इसलिए कुछ और स्पष्ट करना चाहता हूं। MENA (मध्य पूर्व और उत्तर अफ्रीका) क्षेत्र के व्यापक हिस्सों में भी ऐसे ही मामले देखे गए हैं। SMEX का लेख WANA (पश्चिम एशिया और उत्तर अफ्रीका) पर केंद्रित है, लेकिन MENA में इसे “AppCloud” की जगह “Aura” नाम से भी जाना जाता है। संबंधित लेख(https://moroccoworldnews.com/2025/06/…) है

    • SMEX लेबनान-आधारित संगठन है, और (S)WANA शब्द MENA के स्थान-नाम के विकल्प के रूप में आजकल उभरा नया शब्द है

    • WANA और MENA लगभग एक ही क्षेत्र हैं

    • मैं corporate mobile device management में काम कर चुका हूं। यह AppCloud बहुत व्यापक रूप से इंस्टॉल किया गया था, यहां तक कि यूरोपीय open market डिवाइसों में भी। खासकर enterprise डिवाइसों में तो यह बिल्कुल नहीं होना चाहिए (enterprise MDM, E-FOTA managed डिवाइसों सहित)। इस मामले पर Samsung के साथ मेरी कुछ असहज बातचीत भी हुई थी

    • ऑस्ट्रेलिया में खरीदे गए मेरे डिवाइस में भी यह इंस्टॉल था

  • AppCloud को विवादास्पद इज़राइली startup ironSource ने विकसित किया था, जिसे हाल में अमेरिकी कंपनी Unity ने अधिग्रहित किया

    • तो अब यह मजाक भी किया जा सकता है कि Unity अब malware से जुड़ गई है

    • सबसे अजीब बात यह विलय है कि Unity ने ironSource को पूरे 4.4 अरब डॉलर में खरीदा

  • मैंने Samsung को इसलिए खरीदने पर विचार किया था क्योंकि मुझे लगा कि 150 डॉलर से कम दाम में गैर-चीनी स्मार्टफोन (जिस पर spyware विवाद न हो) में वही लगभग अकेला विकल्प है, लेकिन अब बची हुई पसंद अस्पष्ट है। अगर ऐसा कोई फोन हो जिसमें open source firmware इंस्टॉल किया जा सके, तो मैं उसे देखूंगा। मैं अपने फोन पर भरोसा नहीं करता, इसलिए उसमें कोई महत्वपूर्ण जानकारी नहीं रखता, न लॉगिन करता हूं, न ऐप इंस्टॉल करता हूं। जो डिवाइस Linux नहीं चलाता, उस पर भरोसा नहीं किया जा सकता

  • यूरोप और उत्तर अमेरिका में भी Samsung फोनों पर AppCloud इंस्टॉल मिल रहा है। यह शुरुआती सेटअप, सिस्टम अपडेट, यहां तक कि security update के बाद भी इंस्टॉल होता है (विडंबना ही है)। carrier lock हो या न हो, फर्क नहीं पड़ता, और कई बार यह तभी दिखता है जब settings में “Show system apps” चालू किया जाए। Galaxy S सीरीज़ समेत कई यूज़र इसे रिपोर्ट कर रहे हैं। AppCloud विवाद पूरी तरह बेतुका लगता है

  • supply chain की समस्या आधुनिक सुरक्षा की सबसे ‘cyberpunk’ जैसी वास्तविकता है। यह गणित का नहीं, भरोसे, शक्ति और पैसे का सवाल है। सोचता हूं कि क्या अब भी ऐसा मौका बचा है कि supply chain में cryptographic verification इस तरह लाया जाए कि ग्राहक भी सुरक्षित रह सकें, या बहुत देर हो चुकी है और अब सिर्फ cyberpunk dystopia वाला भविष्य ही बचा है। क्या गणित इस समीकरण को बदल सकता है, यह सोचने वाली बात है

  • “रूट अधिकार के बिना हटाया नहीं जा सकता, और root करने पर warranty void + security risk” वाला दावा वही corporate propaganda वाली भाषा है जिसने हमें इस बेहूदगी तक पहुंचाया है। अगर मैं डिवाइस का मालिक हूं, तो root access भी मेरा स्वाभाविक अधिकार होना चाहिए, तभी असली ownership मानी जाएगी

    • कानूनी रूप से, ऐसा हर हार्डवेयर जिस पर कोई भी third-party software चल सकता हो, उसे general-purpose computing device माना जाना चाहिए, और यूज़र द्वारा चलाए जाने वाले software पर किसी भी cryptographic या अन्य प्रतिबंध (जैसे secure boot, remote attestation आदि) पर रोक होनी चाहिए। यह डिवाइस के सभी components पर भी लागू होना चाहिए। साथ ही service providers को भी remote attestation विफल होने के आधार पर सेवा देने से इनकार करने से रोका जाना चाहिए (भले वे इसे अपनी सुरक्षा का कारण बताएं)। ऐसे प्रतिबंध आखिरकार यूज़र की जगह सिर्फ advertisers को फायदा पहुंचाते हैं (जैसे video player को modify करके विज्ञापन skip करने से रोकना)

    • मौजूदा ढांचे में root करने पर सुरक्षा हानि लगभग अपरिहार्य हो जाती है। Verified Boot का इस्तेमाल न कर पाना और attestation का कंपनियों के नियंत्रण में होना, दोनों ही संरचनात्मक समस्याएं हैं

    • हाल के समय में यह “hardware use license” जैसा हो गया है, जहां मेरे स्वामित्व वाले डिवाइस को स्वतंत्र रूप से इस्तेमाल करने की आजादी भी मुझसे छीन ली गई है। खासकर अमेरिका/यूरोप के बाहर, जैसे अफ्रीका में, प्राइवेसी और consumer rights की अवधारणा भी कमजोर है

    • मौजूदा कानूनी वास्तविकता corporate propaganda का परिणाम भी है और साथ ही ठोस वास्तविकता भी। “root access voids warranty” कई क्षेत्रों में पहले से सच है। इसे propaganda दोहराना नहीं, बल्कि वास्तविकता बताना कहना ज्यादा सही होगा

    • “रूटिंग से warranty खत्म होती है और security risk बढ़ता है” इस वाक्य में कोई गलती नहीं है, लेकिन वास्तविक तथ्य और मूल्य-निर्णय को एक ही चीज मान लेना समस्या को बहुत सरल बना देता है। जैसे “आग से जल सकते हो” कहना सही है, लेकिन वास्तविकता यह भी है कि बहुत से लोग खाना पकाने और गर्मी पाने के लिए आग पर निर्भर हैं

  • मैं इस क्षेत्र का विशेषज्ञ नहीं हूं, लेकिन सोचता हूं कि अगर प्रदर्शन की कीमत पर भी सिर्फ सुरक्षा (बंद पश्चिमी हार्डवेयर को बाहर रखकर) लक्ष्य हो, तो क्या top-tier हार्डवेयर और software लोग मिलकर एक सचमुच सुरक्षित स्मार्टफोन बना सकते हैं। जैसे verified microkernel, डिफ़ॉल्ट full encrypted messaging, encrypted memory, inter-process communication encryption, और modem/peripherals/battery के लिए hardware switches जैसी चीजें हों, तो यह काफी मायने रख सकता है

    • लेकिन तकनीकी रूप से संभव होना पूंजी की ताकत के सामने अर्थहीन है। पूंजी कभी भी ऐसा डिवाइस स्वीकार नहीं करेगी जिसे वह खुद नियंत्रित न कर सके। सचमुच सुरक्षित डिवाइस आखिरकार सिर्फ एक सपना ही रह जाएगा

    • यह भी याद रखना चाहिए कि production स्तर पर उपयोग करने योग्य verified microkernel बनाना बेहद विशाल engineering effort है