ハクソク

世界を動かす技術を、日本語で。

サムスン、WANA地域のスマートフォンに「IronSource」スパイウェアアプリを埋め込む

339日前原文(smex.org)

概要

  • SamsungのA・Mシリーズにプリインストールされている AppCloud が、ユーザーの同意なく個人情報を収集
  • AppCloud は削除困難で、プライバシーポリシーも不透明
  • 開発元は ironSource (イスラエル発、現Unity傘下)で、法的・倫理的懸念が存在
  • ユーザーのプライバシーとセキュリティ権利を侵害
  • Samsungに対し、透明性・説明責任・対話を求める公開書簡

Samsung A・MシリーズへのAppCloud強制インストール問題

  • AppCloud はWest AsiaおよびNorth Africa(WANA)地域で販売されるSamsung A・Mシリーズ端末にプリインストール
  • ユーザーの明確な同意なしで 個人情報 を収集する仕様
  • 削除や無効化が困難 で、root化しない限りアンインストール不可
  • root化は 保証無効 ・セキュリティリスクを招くため現実的な解決策ではない
  • システムアップデート後に 再び有効化 されるケースも確認
  • プライバシーポリシーが不明確 で、何の情報がどのように扱われているか不透明
  • 明確な オプトアウト手段 が存在しない現状

AppCloudとironSourceの背景・法的懸念

  • AppCloudironSource (イスラエル発、現Unity傘下)が開発
  • ironSourceは ユーザー同意・データプライバシー問題 で過去に批判
  • イスラエル企業に対する法的制限がある国(例:Lebanon)では 法的・倫理的問題 が発生
  • Samsungの利用規約には AppCloudやironSource に関する明記がない
  • GDPRやWANA各国の データ保護法 に抵触する可能性

ユーザーへの影響と懸念

  • 生体認証情報・IPアドレス・デバイスフィンガープリント などのセンシティブデータが収集対象
  • ユーザーは 自身の端末に何がインストールされているか把握できない 状況
  • プライバシー・セキュリティ権利の 重大な侵害
  • 地域的な スパイ活動や情報漏洩 リスクの高まり

Samsungへの要望事項

  • AppCloudのプライバシーポリシーとデータ取扱い の全面開示
  • オプトアウト・アンインストール を容易にする方法の提供
  • プリインストール決定理由 の説明
  • 将来的な AppCloudプリインストール方針の再考 (人権尊重の観点から)
  • Samsung担当チームとの会談 による詳細な意見交換の実施

今後の展望・ユーザーの権利

  • すべてのSamsungユーザーが 自身のプライバシーとデータ利用状況 を知る権利
  • 企業の 透明性・説明責任・ユーザー主体の選択肢 の確保
  • 地域特性や法的背景を踏まえた 適切な対応 の必要性

この公開書簡は、Samsungに対し 迅速な対応ユーザー保護 を求めるものです。

Hackerたちの意見

リンクがダウンしてるから: https://web.archive.org/web/20250506145643/https://smex.org/... 記事にはAppCloudについての情報がかなり欠けてるけど、要するにSamsungがフラッグシップじゃないデバイスのユーザーからどうやって利益を上げてるかってことだね。通知トレイにインストール広告を挿入したり、アプリを静かにインストールしたりできるんだ。個人的には、これを自分のデバイスで見つけたら、もう我慢の限界で、ついにAppleのデバイスを買う決心をすると思う。

それならSamsungを選ばなければいいんじゃない?自分の使ってるスマホブランドが似たようなことをしてるかは分からないけど、少なくともまだニュースにはなってないよね。

自分の経験から言うと、Samsungって「近寄らない方がいい」っていうラベルみたいなもんだよ。Galaxy Noteの大失敗から、電子レンジ、食洗機、他にも多分3つくらいの製品で教訓を得た。QD-OLEDモニターも、Samsungがパネルを作ってるってだけで買うのを拒否してる。もしかしたら自分だけかもしれないけど、いつかはこんなクソ企業をボイコットして潰す日が来るかもね。

Samsungのスマホは最初からプリインストールされたスパイウェアが満載だよね。使えないLinuxのスマホを除けば、Appleがプライバシーを真剣に考えてる唯一のメーカーみたい。

Samsungの洗濯機と乾燥機を使ってるけど、結構しっかりしてるよ(ネット接続はないからラッキー)。

Galaxy Noteの fiasco スマホメーカーで、数パーセント以上の市場シェアを獲得したり、2台以上のスマホをリリースしたりして、そのレベルの fiasco に免疫があるところってあるの?

何に賛成なの?Androidのエコシステムって、正直あんまり良くないよね。どのメーカーが簡単に新しい電話に移行できるの?(SamsungはSmart Switchがあるけど)それに、4年以上のセキュリティアップデートを提供してくれるところは?本当に知りたい。私の場合、SDカードスロットも欲しかったから、選択肢はかなり限られてたよ。(それでも進歩なんてないって言い張る人もいるけどね!)

「削除不可能」って部分は正しくないよ。システムパーティションにあるから完全には削除できないけど、adbコマンドを使えば無効化できる可能性が高いよ: adb shell pm uninstall --user 0 com.package.name このコマンドはすごく強力で、設定で「無効化」がグレーアウトしているアプリにも使えるんだ。例えば、自分はこの方法でS9のGalaxy Storeを無効化したよ。

「セキュアフォルダ」にも同じアプリがインストールされたままになるか知ってる?

うん、でもほとんどの人(99%以上だと思う)には、上の方法を使うこと自体が分からないだろうし、ガイドを見つけた人も、WindowsやMacOSのマシンでadbを使うのに苦労するかもしれない。

「削除不可能」 > 完全には削除できない もしかしたら英語があまり得意じゃないけど、それって「削除不可能」の定義みたいに聞こえる。

サムスンのスマホを使ってたけど、同じことをやったよ。ここにちょっとしたチュートリアルを書いたんだ(https://harigovind.org/notes/removing-samsung-android-bloatw...)。でも、システムアップデートの後にこれらのアプリがまた出てきちゃうんだよね。最近は頻繁にアップデートがあったから、すぐに手放しちゃった。今はMotoを使ってるけど、こっちはブloatwareが比較的少ないよ。

つまり、削除できないってこと?

それすら必要ないよ、OSのアプリ設定で無効にできるから。

大規模な監視(企業による広告目的のものや、国家による情報収集目的のもの)と、最近のイランの核科学者や軍の幹部が自宅で狙われたことには強い関連があると思う。どこの国の人でも、どの立場にいても、企業が顧客データを売ったり、ユーザーを監視するアプリがあったりすることで、個人についての情報を推測するのがこれまで以上に簡単になったことにはみんな同意できると思う。これにより、情報機関は情報収集を市場にアウトソースできるようになって、従来の方法よりも安くて便利だろうね。「プライバシーは人権だ」って言葉は無視されてきたけど、政治家たちがこれが国家の安全保障の問題でもあることに気づくことを願ってる。

天気アプリは最悪の例の一つだね。ほとんどのアプリが、位置情報アクセスを許可するとデータブローカーに位置情報を共有するよ。今日の天気をチェックして、明日はボコボコにされるって感じ。

政治家は多国籍企業や防衛請負業者の営業・マーケティング部門に過ぎない。彼らは決して気にしないよ。

イランの携帯ネットワークシステムのほとんどは、もともと韓国の企業によって設置されたんだ。いくつかは中国のブランドに変わったけど、どうやら問題のある韓国のブランドはまだ残ってるみたい。

大規模監視と、イランの核科学者や軍の高官が自宅で狙われた最近の事件との間には強い関連があると思う。みんな、核施設を訪れる人を秘密裏に追跡する超クールなハッキング作戦を想像したいよね。でも、もっと論理的な説明は、誰かがMEAFの低レベルの従業員に接触して、政府の組織図や給与記録が入ったUSBメモリを渡して、その代わりに子供を名門の外国の大学に全額奨学金で入学させてもらったってことだ。

国家の関与があるなら、クッキーやGAIA-idの追跡なんて心配することじゃないよ。

イスラエルがほとんどのCPUにバックドアアクセスしてるんじゃないかって疑ってるよ。ペガサスの様子はこんな感じ:- 中国は15億人もいて、資源も豊富だから、iOSをハックする方法を見つけたら経済的に大きな利益を得るはずなのに、ハックできてない。- イスラエルは700万人しかいないのに、iOSを何度もハックして、同盟国をスパイしてる。ペガサスの複雑さを分析してるスレッドを見たけど、再現されてるかどうかはわからないし、もし再現されてたら、論理的に俺が間違ってることを証明することになる(でも、陰謀論者の俺はまだ正しいと思ってる)。理由はこうだ:イスラエルにはたくさんのシリコンファブやR&Dセンターがあるけど、アメリカがイスラエルにファブやR&Dセンターを持つのは全く意味がない。あの国は(おそらく)理由もなく爆撃されるリスクが常にあるからね(ほんとにそうだよね)。インテルは80年代からイスラエルにファブを持ってるけど、なんで日本やフランス、イギリスにはないの?(フランスとイギリスはアメリカの親しい同盟国で、地震も爆撃のリスクもないのに)。カナダにもないのはなんで?インテルがすべてのCPUにインテルマネジメントエンジンを搭載し始めた日と、イスラエルに最大のファブを建設した日を比較したら、AMDがPSP(インテルMEに似た技術)を使い始めた日とも一致して、イスラエルで大きなペンテストスタートアップを買収した時期とも重なって、そこにR&Dセンターを作り始めた。AppleやQualcommも似たような話があるし。もちろん、これは全部陰謀論だけど、日付が一致してるのは明らかに不十分だよ。でも、各自の考え方があるし、俺は自分の技術をすでにバックドアが仕込まれてるかのように扱うことにしてる。プライバシーを大切にする俺にとっては、証拠が(確信するには不十分だけど)十分なんだ。

この投稿が予想以上に早くトレンド入りしているので、この話にちょっと付け加えたいと思います。MENA地域でも似たようなケースがあるみたいです。SMEXの投稿は主にWANAに焦点を当てていますが、MENA地域からの他の報告(例:[1])でも、Samsungの似たような行為が語られています。そちらでは「AppCloud」ではなく「Aura」について話されています。

WANAとMENAの違いって何?同じエリアに聞こえるけど。

同じだね。SMEXはレバノンに拠点を置いてるし、(S)WANAって言葉はMENAのために広まってる嫌な用語だよ。

オーストラリアで買った私のデバイスにもインストールされてたよ。

一般ユーザーがルートアクセスなしでアンインストールするのがほぼ不可能になってるんだよね。ルートアクセスを取ると保証が無効になったり、セキュリティリスクが増えたりする。最初にこのバカな状況に私たちを追い込んだ企業のプロパガンダを繰り返すのはやめてほしい。自分のデバイスにルートアクセスを持つことは基本的な権利で、そうでないと所有権がないことになる。

もう十分に後退してると思うんだけど、今やルート化にはセキュリティ上のデメリットがあることが建築的に保証されてるの?例えば、ブートの検証ができなくなるし、その認証は企業に結びついていて、あなたに結びついてないから。

ルートアクセスって、もう古いセキュリティの概念だよね。そんな概念を強制しようとするのは、UNIXの宣伝をそのまま真似してるだけ。ユーザーは「ルート」アカウントなしでもデバイスをコントロールできるんだよ。

企業の宣伝?どれだけ現実とズレてるの?本気で言ってるの?親や親戚、友達に技術サポートを提供したことないの?その人のコンピュータがルートのせいで完全に壊れちゃったって話、無数にあるよ。保護をオフにするのがどれだけ複雑でも、人は騙されたり強制されたりするって話、見たことないの?本当に目の当たりにしたことないの?20年前のコンピュータがどれだけひどかったか、知らないか忘れたの?ルートと所有権を同じにするのは、笑っちゃうよ。それだと、ルートはほとんどの人にとって所有権じゃない。自分のマシンがルートのせいで危険にさらされたら、所有権を失ったってことだから。

地球上のすべての電話がボットネットになってほしいの?一般の人が技術に関して良い判断を下せるほど情報を持ってると思ってるの?平均的な人は「うーん、私は技術が苦手で、コンピュータは私を嫌ってる」って言うけど、パソコンは40年、携帯電話は30年も前からあるのに。修理の権利や所有権には賛成だけど、基本的なセキュリティやコンピュータに対する理解がどれだけ低いか、過小評価してると思う。IT業界で働いたことがないなら、人々がどれだけ無力で無知か、全然わからないよ。彼らは素晴らしいエンジニアかもしれないけど、「お得なショッピングプラスアプリ」をインストールしたいって思ってるんだ。追記:これが悪いことだって言いたいんだけど、みんなに簡単にルート権限を与えるのは解決策じゃないし、もっとひどい結果を招くよ。

これは良い指摘だね。「電話をルート化すると保証が無効になったり、セキュリティリスクが生じる」っていうのは事実として間違ってないけど、事実を価値判断と同じだと思うと、すごく問題があるよね。同様に、「火は注意しないと燃えるよ」って言うのもおかしい。多くの人が食べ物や暖かさのために火を頼りにしてるから。

何も考えずにオーソドックスなアジェンダを繰り返すのはやめて。みんながルートアクセスを持ってたら、ランサムウェアやスパイウェア、マルウェアのオペレーターにとっては天国だよ。ルートアクセスを持つことは、ほとんどの一般ユーザーにとって利益にならないし、興味もない。ランダムなアプリをインストールする99%の人にとって、スマホをルート化するのは自分の足を撃つようなもんだ。ハッキングされて、貯金を奪われたり、身代金を要求されたりするからね。だからこの記事は正しいことを言ってる。あなたや私のような他の人には、この記事が何を言ってるかなんてどうでもいいことだよ。だから、サムスンのやってることは二重に悪いんだ。スマホが自分を尊重してくれるなら、ルート化しないのは良い衛生状態だよ。でも、マルウェアがついてきたら、それは裏切りだね。

第三者が開発したソフトウェアを実行できるハードウェアデバイスは、一般的なコンピュータデバイスと見なされるべきだっていう規制が必要だよ。そして、そういうデバイスは、ユーザーが実行したいソフトウェアに対して暗号化やその他の制限をかけることが禁止されるべき。これはデバイス上のすべてのプログラム可能なコンポーネントに関わることで、低レベルのハードウェアコントローラーも含まれる。これらの制限は特定のデバイスを超えて広がるべきだし、商業的な存在として、クライアントデバイスのソフトウェアスタックのリモート認証を強制するセキュリティスキームを実施するのは違法にすべきだよ。サービスプロバイダーは他の手段で自分たちを守ることができるし、ユーザーが自分のデバイスをコントロールできないようにするのは、やり方が強引すぎて不必要に厳しいアプローチだと思う。結局、ソフトウェアスタックを作ってる広告会社だけが得をするんだよね。仮に、広告をスキップするためにビデオプレイヤーを改造できないようにすることに興味があるかもしれないし。

最近の「ハードウェアの使用ライセンス」への切り替えで、実際にハードウェアを所有して自由に使えるっていう考えが完全に消えちゃったと思う。特にアフリカでは、プライバシーや消費者の権利がアメリカやEUほど重要じゃないだろうし。

セキュリティリスクがプロパガンダだって、どういうこと?

AppCloudは、物議を醸しているイスラエル発の会社ironSource(今はアメリカのUnityが所有)によって開発されたんだ。そう、あのUnity 3Dエンジンの会社だよ、びっくりだよね。

だから、Unityは関連でマルウェアと見なされるようになったってことだね。

オーストラリアで買ったサムスンのスマホにもあった。西アジアやアフリカだけじゃないよ。無効にはできたけど、削除はできなかった。再度有効になるかは不明。3月1日から約35MBのデータを送信していて、バックグラウンドサービスとして有効になってた。

ヨーロッパや北アメリカでも同じことが起きてるよ。AppCloudはSamsungのデバイスに入ってる。最初から入ってることもあれば、システムアップデート後やセキュリティアップデート後に出てくることもある(皮肉だよね!)。キャリアロックされてるかどうかは関係ない。設定のアプリ一覧で「システムアプリを表示」のトグルをオンにしないと見えないこともあるし。Galaxy Sシリーズのスマホを使ってる人たちもこれを報告してるよ。このAppCloudのやつ、ほんとにひどいね!

2022年にSamsungのスマホを買ったときにこれを観察したよ。俺のスマホは35,000インドルピーだった。事前に入ってるアプリもあって、ちょっと驚いたよ。それから1年くらい後にiPhoneに乗り換えたけど、もう戻る気はないね。