Samsung Memaksa Pra-instal spyware AppCloud milik IronSource pada smartphone di wilayah WANA

 (smex.org)
1 poin oleh GN⁺ 2025-06-22 | 1 komentar | Bagikan ke WhatsApp
  • Smartphone seri A dan M Samsung dipra-instal dengan bloatware bernama AppCloud tanpa persetujuan pengguna
  • AppCloud tersebut dikembangkan oleh ironSource (perusahaan yang didirikan di Israel, kini dimiliki Unity), dan menuai kontroversi karena mengumpulkan informasi sensitif serta tidak dapat dihapus
  • Kebijakan privasinya tidak transparan, dan pengguna tidak diberi tahu data apa yang dikumpulkan dan bagaimana data itu digunakan
  • Metode instalasi paksa ini berpotensi melanggar hukum perlindungan data regional dan GDPR
  • Organisasi seperti SMEX mendesak Samsung untuk memberikan transparansi, opsi penghapusan, dan menghentikan pra-instalasi di masa depan

Sorotan masalah: ponsel Samsung di wilayah WANA dipersoalkan karena instalasi bloatware paksa

  • Baru-baru ini, banyak laporan dikumpulkan dari pengguna di wilayah Asia Barat dan Afrika Utara (WANA) mengenai pra-instalasi bloatware intrusif yang nyaris tidak dikenal, AppCloud, pada smartphone Samsung
  • Aplikasi ini dipasang tanpa persetujuan pengguna atau pemberitahuan sebelumnya, dan memunculkan kekhawatiran serius seperti pengumpulan data pribadi sensitif, tidak bisa dihapus, serta kebijakan privasi yang tidak transparan

AppCloud dan ironSource

  • AppCloud dikembangkan oleh ironSource (didirikan di Israel, kini dimiliki Unity), dan sifat perusahaan tersebut beserta pembatasan hukum regional memicu kontroversi hukum dan etika tambahan
  • Samsung tidak memberikan transparansi apa pun mengenai fungsi AppCloud, data yang dikumpulkan, maupun hak pilihan pengguna

Permintaan dalam surat terbuka SMEX

  • Samsung diminta segera mengungkap kebijakan privasi, cara pemrosesan data, serta metode menghapus/menonaktifkan AppCloud
  • Mereka juga merekomendasikan agar hak perlindungan data pribadi dipertimbangkan untuk pra-instalasi perangkat di masa mendatang, dan meminta pertemuan untuk membahas isu terkait

Kondisi instalasi AppCloud dan kekhawatiran yang muncul

  • Setelah perluasan kerja sama Samsung dan ironSource pada 2022, produk baru seri A dan M dipasang AppCloud secara default
  • Menurut analisis SMEX, perangkat lunak ini terintegrasi secara mendalam ke dalam sistem operasi (O/S) sehingga tidak dapat dihapus dengan hak akses pengguna biasa
  • Tidak dapat dihapus tanpa rooting, dan meskipun dinonaktifkan, akan dipulihkan saat pembaruan sistem

Ketidaktransparanan kebijakan privasi

  • Kebijakan privasi AppCloud tidak ada, atau tidak dapat diakses
  • Tidak ada penjelasan transparan mengenai data apa yang dikumpulkan dan digunakan, maupun bagaimana data itu dilindungi
  • Aplikasi ini mengumpulkan data pribadi, termasuk data sensitif pengguna (informasi biometrik, IP, identitas perangkat, dll.)

Instalasi tanpa persetujuan dan potensi pelanggaran hukum

  • AppCloud diinstal otomatis tanpa persetujuan pengguna, sehingga berpotensi melanggar GDPR dan undang-undang perlindungan data di negara-negara WANA
  • Dengan merujuk pada fakta bahwa ironSource dilarang beroperasi di beberapa negara berdasarkan regulasi regional (misalnya Lebanon), muncul persoalan hukum dan etika tambahan

Masalah dalam syarat penggunaan Samsung

  • Syarat penggunaan layanan hanya menyebut aplikasi pihak ketiga secara umum, tanpa penjelasan spesifik terkait ironSource atau AppCloud
  • Tidak adanya pemberitahuan terpisah mengenai AppCloud, yang memiliki hak akses dan kontrol data dalam skala besar, menunjukkan kurangnya transparansi

Pelanggaran hak pengguna dan dampak pasar

  • Instalasi paksa AppCloud merupakan pelanggaran terhadap hak privasi dan keamanan pengguna, dan mengingat dominasi pangsa pasar regional Samsung, dikhawatirkan menimbulkan dampak sosial yang serius
  • Menanggapi situasi ini, berbagai organisasi meminta hal-hal berikut
    • Pengungkapan penuh dan jaminan akses atas kebijakan pemrosesan data pribadi dan cara pemanfaatan data AppCloud
    • Panduan yang jelas mengenai opsi opt-out dan metode penghapusan total, serta dukungan agar hal ini dapat dilakukan tanpa mengganggu stabilitas perangkat
    • Penjelasan yang jelas tentang alasan keputusan pra-instalasi pada perangkat seri A dan M di wilayah WANA
    • Peninjauan ulang total pra-instalasi pada produk baru ke depan dan jaminan hak privasi data pribadi (berdasarkan Pasal 12 Deklarasi Universal Hak Asasi Manusia)
    • Pertemuan diskusi konkret dengan pihak Samsung yang bertanggung jawab atas kebijakan privasi pengguna dan perlindungan data
  • Demi privasi dan keamanan pengguna, diharapkan Samsung segera memberikan tanggapan dan bekerja sama

Bacaan terkait

1 komentar

 
GN⁺ 2025-06-22
Opini Hacker News

  • Saya curiga pengawasan massal untuk tujuan periklanan oleh perusahaan dan pengawasan oleh badan intelijen negara berkaitan erat dengan insiden terbaru ketika ilmuwan nuklir senior dan perwira militer Iran dijadikan target di rumah mereka. Di negara mana pun, di pihak mana pun, tampaknya semua orang sekarang bisa sepakat bahwa hanya dengan data yang “semi-publik” saja—seperti informasi pelanggan yang dijual perusahaan atau aplikasi yang dipasangi fungsi mata-mata—sudah bisa disimpulkan terlalu banyak hal tentang seseorang. Kini badan intelijen dapat mengalihdayakan pengumpulan informasi ke pasar, sehingga jauh lebih murah dan praktis dibanding cara tradisional. Seruan “privasi adalah hak asasi manusia” sudah lama diabaikan, tetapi saya berharap para politisi segera menyadari bahwa privasi juga merupakan isu keamanan nasional

    • Kebenaran ada di luar Overton Window (rentang percakapan yang dianggap dapat diterima secara sosial dan politik). Di era drone, privasi adalah soal pertahanan sipil, tetapi negara-negara yang ada sekarang justru menyimpan kerentanan itu dalam struktur basis data PII (informasi identitas pribadi) skala besar mereka. Kelompok pemberontak bisa mencuri basis data ini dan memakainya untuk penargetan, sehingga negara pada akhirnya hanya berpegang pada ilusi kontrol teritorial kuno. Dibanding dulu, kontrol akan menyusut menjadi beberapa fasilitas rahasia yang dibentengi, dan saya punya firasat keadaan ke depan akan menjadi sangat tak terduga sekaligus amat brutal

    • Kita sering membayangkan operasi film mata-mata seperti diam-diam melacak orang-orang yang mengunjungi fasilitas nuklir lewat peretasan smartphone, tetapi penjelasan yang jauh lebih masuk akal adalah skenario realistis seperti mendekati pegawai rendahan MEAF (otoritas energi Iran), menerima USB yang berisi bagan organisasi pemerintah dan catatan penggajian, lalu sebagai imbalannya membantu anak pegawai itu mendapatkan beasiswa di universitas asing ternama

    • Saya pernah mendengar bahwa sistem jaringan seluler Iran pada awalnya sebagian besar dipasang oleh perusahaan Korea, dan belakangan beberapa diganti dengan merek Tiongkok, tetapi masih ada peralatan buatan Korea yang bermasalah yang tetap tersisa

    • Untuk target bernilai tinggi seperti ini (jenderal/ilmuwan Iran dan semacamnya), sekali saja ditemukan, mereka bisa terus dilacak lewat satelit. Tidak perlu lokasi yang sangat presisi; cukup tahu gedung mana yang akan dibom

    • Aplikasi cuaca adalah salah satu pelaku terburuk dalam membagikan data lokasi ke broker. Zaman sekarang, cek cuaca hari ini bisa berarti risiko dibom besok

  • Saya bagikan karena tautan asli (https://web.archive.org/web/20250506145643/…) sedang tidak bisa diakses. Artikelnya tidak menjelaskan dengan baik apa itu AppCloud, tetapi intinya ini adalah cara untuk menghasilkan uang dari pengguna perangkat Samsung non-flagship, dan bisa menyisipkan iklan ke panel notifikasi atau diam-diam memasang aplikasi. Jika saya menemukan hal seperti ini di perangkat saya, saya tidak akan mentolerirnya lagi dan akan pindah ke produk Apple

    • Saya jadi berpikir kenapa tidak langsung saja tidak membeli Samsung. Memang merek ponsel saya juga mungkin bisa melakukan hal serupa, tetapi karena belum pernah muncul di berita, rasanya sedikit lebih aman

    • Saya bisa bilang dari pengalaman bahwa model flagship, terutama versi operator, juga mengalami hal yang sama. Notifikasi terus muncul dari aplikasi yang tak pernah saya lihat sebelumnya, dan belakangan Samsung juga memaksakan Galaxy AI (tidak pernah hilang saat memilih teks di browser), ditambah keluhan antarmuka, jadi setiap hari saya menyesali pilihan saya

    • Membeli iPhone bekas yang usianya 5 tahun itu murah, masa dukungannya panjang, dan performanya juga lebih baik daripada ponsel murahan. Saya pindah dari XS ke model baru, tetapi 16 pun tidak jauh berbeda, dan saya bahkan terkejut karena harga bekasnya turun sangat rendah. iPhone lama jauh lebih lancar daripada kebanyakan Android kelas menengah

    • Tidak perlu meninggalkan Android. Ada juga Fairphone(https://fairphone.com). Android bawaannya oke, dan kalau ingin privasi, memasang e/OS/ juga sangat mudah. Saya benar-benar tidak mengerti bagaimana orang masih bisa menyimpulkan bahwa membeli perangkat Samsung itu layak

  • Bagian “tidak bisa dihapus” itu kurang tepat. Memang tidak bisa dihapus sepenuhnya, tetapi karena ada di partisi sistem, dalam banyak kasus aplikasi itu bisa dinonaktifkan lewat perintah adb. Saya sendiri pernah mematikan Galaxy Store dengan perintah di bawah ini

    adb shell pm uninstall --user 0 com.package.name

    • Kalau “unremovable” tetapi “tidak bisa dihapus sepenuhnya”, menurut saya itulah definisi dari tidak bisa dihapus

    • Cara ini tidak berlaku untuk semua ponsel. Pabrikan seperti Motorola memakai fitur nodisable untuk mencegah APK dinonaktifkan sama sekali. Di Motorola RAZR 5G saya keluaran 2025, ada file XML di jalur /product/etc/nondisable yang secara eksplisit mencantumkan nama aplikasi untuk operator dan perusahaan keuangan

    • Saya juga menghapusnya di ponsel Samsung dengan perintah adb yang sama, dan merangkum caranya di sini (https://harigovind.org/notes/removing-samsung-android-bloatware/). Tapi aplikasi seperti ini hidup kembali setiap kali ada pembaruan sistem, jadi pada akhirnya saya meninggalkan ponsel Samsung dan pindah ke Moto yang bloatware-nya lebih sedikit

    • Samsung pasti punya tim PR yang dibayar untuk memperhalus fakta, jadi kalau setidaknya menutupi hal seperti ini, rasanya kamu juga layak dibayar. Kamu sudah mengakui bahwa pengguna tidak bisa benar-benar menghapusnya, dan harus memakai perintah shell untuk mematikannya, sementara pada akhirnya aplikasi itu hidup lagi setiap kali ada pembaruan

    • Makna suatu kata tidak harus selalu dipakai secara teknis dan harfiah saja. Jika pengguna biasa tidak bisa menghapus aplikasi dengan mudah dan intuitif, maka secara praktis itu sama saja dengan "tidak bisa dihapus". Perintah adb membutuhkan PC dan kabel, instalasi adb, mode debugging, dan sebagainya, jadi untuk orang biasa tingkat kesulitannya nyaris setara layanan servis, mirip wilayah seperti chip tuning pada mobil

  • Tulisan ini menyebar lebih cepat dari dugaan, jadi saya tambahkan penjelasan. Kasus serupa terlihat di seluruh kawasan MENA (Timur Tengah dan Afrika Utara). Tulisan SMEX berfokus pada WANA (Asia Barat dan Afrika Utara), tetapi di kawasan MENA ini juga dikenal dengan nama “Aura” alih-alih “AppCloud”. Ada artikel terkait (https://moroccoworldnews.com/2025/06/…)

    • SMEX adalah organisasi yang berbasis di Lebanon, dan istilah (S)WANA dijelaskan sebagai istilah baru yang belakangan dipakai untuk menggantikan penamaan wilayah MENA

    • WANA dan MENA pada dasarnya wilayah yang sama

    • Saya dulu menangani manajemen perangkat mobile enterprise. AppCloud ini dipasang secara luas, termasuk di perangkat open market Eropa. Ini sama sekali tidak boleh ada di perangkat enterprise (termasuk perangkat yang dikelola dengan enterprise MDM dan E-FOTA). Saya bahkan pernah mengalami percakapan canggung dengan pihak Samsung soal ini

    • Perangkat saya yang dibeli di Australia juga terpasang ini

  • AppCloud dikembangkan oleh startup Israel ironSource yang kontroversial, dan belakangan diakuisisi oleh perusahaan Amerika, Unity

    • Jadi sekarang orang bisa bercanda bahwa Unity terkait dengan malware

    • Merger yang paling aneh adalah fakta bahwa Unity membayar sampai 4,4 miliar dolar untuk mengakuisisi ironSource

  • Saya sempat mempertimbangkan membeli Samsung karena saya pikir hanya itu satu-satunya smartphone non-Tiongkok di bawah 150 dolar yang tersedia tanpa kontroversi spyware, tetapi sekarang pilihan yang tersisa terasa serba tanggung. Jika ada ponsel yang bisa dipasangi firmware open source, saya akan mempertimbangkannya. Saya tidak mempercayai ponsel saya, jadi sama sekali tidak menyimpan informasi penting di dalamnya, juga tidak login atau memasang aplikasi. Perangkat yang tidak menjalankan Linux rasanya memang tidak bisa dipercaya

  • Di Eropa dan Amerika Utara juga sama saja: AppCloud terpasang di ponsel Samsung. Itu muncul pada kondisi awal, setelah pembaruan sistem, bahkan setelah pembaruan keamanan (ironisnya). Ini terjadi terlepas dari ponsel terkunci operator atau tidak, dan kadang hanya terlihat jika Anda mengaktifkan “tampilkan aplikasi sistem” di pengaturan. Banyak pengguna melaporkan ini, termasuk pada seri Galaxy S. Kontroversi AppCloud benar-benar terasa tidak masuk akal

  • Masalah rantai pasok adalah kenyataan paling ‘cyberpunk’ dalam keamanan modern. Ini bukan soal matematika, tetapi soal kepercayaan, kekuasaan, dan uang. Saya penasaran apakah masih ada peluang memasukkan verifikasi kriptografis ke rantai pasok dalam bentuk yang juga bisa aman bagi pelanggan, atau apakah sudah terlambat dan yang tersisa hanya masa depan distopia cyberpunk. Saya bertanya-tanya apakah matematika bisa mengubah dinamika ini

  • Klaim “tidak bisa dihapus tanpa akses root, dan kalau di-root garansi batal + ada risiko keamanan” adalah frasa yang persis meniru propaganda perusahaan yang membawa kita ke situasi konyol seperti ini. Kalau saya pemilik perangkat, maka akses root seharusnya juga menjadi hak yang wajar agar kepemilikan itu benar-benar diakui

    • Secara hukum, semua perangkat keras yang bisa menjalankan perangkat lunak pihak ketiga seharusnya dianggap sebagai perangkat komputasi umum, dan perlu ada larangan atas pembatasan kriptografis maupun pembatasan lain pada perangkat lunak yang dijalankan pengguna (misalnya secure boot, remote attestation, dan sebagainya). Ini juga harus berlaku untuk semua komponen dalam perangkat. Selain itu, penyedia layanan juga harus dilarang menolak layanan dengan alasan kegagalan remote attestation (selama itu dilakukan demi melindungi penyedia layanan sendiri). Pembatasan seperti ini pada akhirnya hanya menguntungkan pengiklan, bukan pengguna—misalnya untuk mencegah modifikasi pemutar video agar bisa melewati iklan

    • Dalam struktur saat ini, melakukan root memang membuat hilangnya sebagian keamanan menjadi tak terhindarkan. Tidak bisa memakai Verified Boot dan fakta bahwa attestation dimiliki perusahaan, semuanya adalah masalah struktur

    • Belakangan ini konsepnya berubah menjadi semacam “lisensi penggunaan perangkat keras”, sampai-sampai kebebasan untuk memakai perangkat milik sendiri secara bebas pun dirampas. Khususnya di luar AS/Eropa, misalnya di Afrika, konsep privasi dan hak konsumen juga masih lemah

    • Realitas hukum saat ini adalah hasil propaganda perusahaan sekaligus juga realitas yang nyata. “root access voids warranty (akses root membatalkan garansi)” memang sudah menjadi fakta hukum di banyak wilayah. Jadi itu bukan sekadar mengulang propaganda, melainkan lebih dekat ke penjelasan realitas

    • Kalimat “melakukan root membatalkan garansi dan berisiko keamanan” memang tidak salah, tetapi menyamakan fakta realitas dengan penilaian nilai membuat masalahnya jadi terlalu sederhana. Misalnya, peringatan “Anda bisa terbakar oleh api” menyederhanakan persoalan secara berlebihan, padahal banyak orang dalam kenyataan bergantung pada api untuk memasak atau pemanas

  • Saya bukan orang di bidang ini, tetapi jika tujuannya hanya keamanan—misalnya dengan menyingkirkan perangkat keras Barat yang tertutup—meski harus mengorbankan performa, saya penasaran sejauh mana para insinyur perangkat keras dan perangkat lunak top bisa bekerja sama untuk membuat smartphone yang benar-benar aman. Misalnya, hanya dengan mikrokernel terverifikasi, pesan terenkripsi penuh secara default, memori terenkripsi, enkripsi komunikasi antaraproses, serta sakelar perangkat keras untuk modem, periferal, dan baterai, rasanya itu sudah cukup berarti

    • Tetapi apakah hal itu secara teknis mungkin atau tidak pada akhirnya tidak berarti apa-apa di hadapan kekuatan modal. Modal tidak akan pernah mengizinkan perangkat yang tidak bisa mereka kendalikan sendiri. Perangkat yang benar-benar aman pada akhirnya hanyalah mimpi

    • Perlu dicatat bahwa mikrokernel terverifikasi yang cukup matang untuk dipakai dalam produksi merupakan pekerjaan rekayasa yang luar biasa besar