1 Punkte von GN⁺ 2025-06-22 | 1 Kommentare | Auf WhatsApp teilen
  • Auf Samsung-Geräten der A- und M-Serie in der Region Westasien und Nordafrika (WANA) ist AppCloud standardmäßig vorinstalliert; zentrale Streitpunkte sind Einwilligung, Deinstallierbarkeit und Transparenz bei der Datenverarbeitung
  • AppCloud wurde von dem in Israel gegründeten Unternehmen ironSource entwickelt und gehört heute zu Unity; nach der Ausweitung der Partnerschaft mit Samsung im Jahr 2022 wird die App auf neuen Geräten der A- und M-Serie in der WANA-Region mitgeliefert
  • Wegen der tiefen Integration ins Betriebssystem ist die App für normale Nutzer schwer zu entfernen; Root-Zugriff führt zu Garantieverlust und Sicherheitsrisiken, und selbst nach einer Deaktivierung kann sie nach Updates erneut erscheinen
  • Der offene Brief kritisiert, dass AppCloud sensible Daten wie biometrische Informationen, IP-Adressen und Geräte-Fingerprints sammelt, ohne eine zugängliche Datenschutzerklärung oder eine klare Opt-out-Möglichkeit bereitzustellen
  • Von Samsung werden Offenlegung der Datenverarbeitung, Möglichkeiten zur Entfernung bzw. zum Opt-out, eine Erklärung für die Vorinstallation in der WANA-Region, eine Überprüfung künftiger Vorinstallationen sowie ein Treffen mit den zuständigen Teams gefordert

AppCloud standardmäßig auf Samsung-Geräten in der WANA-Region vorinstalliert

  • Nutzer in Westasien und Nordafrika (WANA) berichten über Probleme mit der vorinstallierten AppCloud auf Smartphones der Samsung A- und M-Serie
  • Es bestehen Bedenken, dass AppCloud ohne Wissen oder Zustimmung der Nutzer installiert wird, sensible personenbezogene Daten sammelt und sich nicht ohne Beeinträchtigung der Gerätesicherheit entfernen lässt
  • Samsung wird dafür kritisiert, nicht transparent offengelegt zu haben, wie AppCloud funktioniert, welche Daten gesammelt werden und warum Nutzer kein Opt-out haben

Partnerschaft zwischen ironSource, Unity und Samsung

  • AppCloud wurde von dem in Israel gegründeten Unternehmen ironSource entwickelt; ironSource gehört inzwischen dem US-Unternehmen Unity
  • Die Ausweitung der Partnerschaft zwischen Samsung und ironSource erfolgte 2022; seitdem ist AppCloud auf neuen Geräten der A- und M-Serie in der WANA-Region standardmäßig enthalten
  • Die Verbindung zu einem in Israel gegründeten Unternehmen verschärft rechtliche und ethische Bedenken in Ländern, in denen Geschäfte mit israelischen Unternehmen verboten sind

Einschränkungen bei Deinstallation und Deaktivierung

  • Laut Analyse ist AppCloud praktisch eine nicht deinstallierbare App und tief in das Betriebssystem des Geräts integriert
  • Für normale Nutzer ist zur Entfernung von AppCloud faktisch Root-Zugriff erforderlich, was zum Erlöschen der Garantie und zu Sicherheitsrisiken führt
  • Selbst die Deaktivierung der App reicht nicht aus, da sie nach System-Updates wieder erscheinen kann

Probleme bei Datenschutz und Einwilligung

  • Für AppCloud gibt es keine zugängliche und transparente Datenschutzerklärung, sodass Nutzer kaum nachvollziehen können, welche Daten gesammelt und wie sie verwendet werden
  • Es wird auch kein klarer Opt-out-Mechanismus angeboten
  • Als erfasste sensible Daten werden genannt:
    • biometrische Informationen
    • IP-Adressen
    • Geräte-Fingerprints
  • Die Installation ohne Zustimmung der Nutzer könnte zu Verstößen gegen Bestimmungen der EU-DSGVO und einschlägige Datenschutzgesetze in Ländern der WANA-Region führen
  • Die Nutzungsbedingungen von Samsung erwähnen Anwendungen von Drittanbietern, gehen jedoch nicht konkret auf AppCloud oder ironSource ein

Von Samsung geforderte Maßnahmen

  • Samsung soll die vollständige Datenschutzerklärung von AppCloud und die Art der Datenverarbeitung offenlegen und für alle Nutzer leicht zugänglich machen
  • Nutzer sollen eine klare und wirksame Möglichkeit erhalten, AppCloud abzuwählen oder zu entfernen, ohne Gerätefunktionen oder die Garantie zu beeinträchtigen
  • Samsung soll die Entscheidung zur Vorinstallation von AppCloud auf allen Geräten der A- und M-Serie in der WANA-Region klar erläutern
  • Im Einklang mit dem in Artikel 12 der Allgemeinen Erklärung der Menschenrechte verankerten Recht auf Privatsphäre soll Samsung prüfen, ob die Vorinstallation von AppCloud auf künftigen Geräten fortgesetzt werden soll
  • Zudem wird ein Treffen mit den zuständigen Samsung-Teams gefordert, um über den Datenschutz von Nutzern in der WANA-Region und den Umgang mit ihren Daten zu sprechen

1 Kommentare

 
GN⁺ 2025-06-22
Meinungen auf Hacker News
  • Massenüberwachung dürfte stark mit den jüngsten Vorfällen zusammenhängen, bei denen hochrangige iranische Nuklearwissenschaftler und Militäroffiziere in ihren Wohnungen gezielt angegriffen wurden.
    Unabhängig davon, aus welchem Land man kommt oder auf welcher Seite man steht, kann man sich wohl darauf einigen, dass es heute einfacher denn je ist, aus „halböffentlichen“ Quellen Rückschlüsse über eine Person zu ziehen – etwa aus von Unternehmen verkauften Kundendaten oder vorinstallierten Apps, die Nutzer überwachen und Daten an Server übertragen.
    Für Nachrichtendienste lässt sich Informationsbeschaffung an den Markt auslagern; das ist wahrscheinlich billiger und deutlich bequemer als traditionelle Methoden.
    Die Aussage „Privatsphäre ist ein Menschenrecht“ wurde ignoriert, aber ich hoffe, Politiker erkennen bald, dass dies auch eine Frage der nationalen Sicherheit ist.

    • Die Wahrheit liegt weit außerhalb des Overton-Fensters.
      Genau: Im Zeitalter der Drohnen ist Privatsphäre eine Frage des Zivilschutzes. Bestehende Staaten werden das aber niemals anerkennen.
      Denn die Strukturen und Institutionen des Staates setzen große Datenbanken mit personenbezogenen Daten, die genau solche Verwundbarkeiten schaffen, sowie institutionelle Transparenz für öffentliche Rechenschaftspflicht voraus.
      Dadurch werden sie strukturell anfällig für Aufständische, die solche Datenbanken erbeuten und zur Zielauswahl nutzen.
      Bestehende Staaten werden wohl an der Illusion festhalten, ihre Steuerdatenbanken seien ausreichend sicher, bis ihre territoriale Kontrolle selbst auf einige wenige befestigte geheime Einrichtungen zusammengeschrumpft ist. Im Drohnenzeitalter können auch Bodentruppen nicht mehr Sicherheit garantieren, indem sie Dinge wie Operation Spiderweb verhindern.
      Es wird wohl eine sehr unberechenbare und vermutlich extrem gewalttätige Zeit werden.
    • Ich vermute, dass Israel Zugriff auf die meisten CPU-Backdoors hat.
      Bei Pegasus wirkt es so: China hat 1,5 Milliarden Einwohner und viele Ressourcen und würde wirtschaftlich enorm profitieren, wenn es einen Weg fände, iOS zu hacken – hat es aber nicht geschafft. Israel dagegen, mit 7 Millionen Einwohnern, hat iOS nicht nur mehrfach gehackt, sondern das auch zur Überwachung von Verbündeten genutzt.
      Ich habe Analysen zur Komplexität von Pegasus gelesen und weiß nicht, ob es reproduziert wurde. Falls ja, würde das logisch bedeuten, dass meine Einschätzung falsch ist, aber die verschwörungstheoretische Stimme in mir fühlt sich trotzdem im Recht.
      Der Grund ist folgender: In Israel gibt es viele Halbleiter-Fabs und Forschungs- und Entwicklungszentren. Aus US-Sicht ergibt es aber überhaupt keinen Sinn, Fabs oder F&E-Zentren in Israel zu betreiben. Schließlich heißt es, das Land sei jederzeit dem Risiko ausgesetzt, ohne Anlass bombardiert zu werden.
      Intel betreibt seit den 80ern Fabs in Israel, und ich frage mich, warum nicht in Japan, Frankreich, Großbritannien oder Kanada. Frankreich und Großbritannien sind enge Verbündete der USA und haben weder Erdbeben- noch Bombardierungsrisiken.
      Ich habe verglichen, wann Intel begann, in alle CPUs die Intel Management Engine einzubauen, und wann das größte Werk in Israel errichtet wurde. Dann habe ich weiter nachgeforscht: Der Zeitpunkt, zu dem AMD begann, PSP, etwas Ähnliches wie Intel ME, zu verwenden, überschneidet sich mit der Übernahme eines großen israelischen Penetration-Testing-Startups und dem Beginn des Aufbaus von F&E-Zentren in Israel. Bei Apple und Qualcomm gibt es ähnliche Geschichten.
      Natürlich ist das alles Verschwörungstheorie, und sich überschneidende Daten reichen nicht aus.
      Trotzdem muss jeder selbst urteilen, und ich habe beschlossen, meine technischen Geräte so zu behandeln, als hätten sie bereits alle Backdoors. Es ist kein Beweis, der für Gewissheit reicht, aber angesichts dessen, wie wichtig mir Privatsphäre ist, reicht es mir.
    • Die Leute stellen sich gern eine unglaublich coole geheime Hacking-Operation vor, bei der die Handys von Personen, die Nuklearanlagen besucht haben, heimlich verfolgt und bis nach Hause getrackt wurden.
      Eine viel logischere Erklärung ist aber, dass jemand einen rangniedrigen Mitarbeiter der MEAF kontaktiert hat und dieser im Gegenzug für ein Vollstipendium seiner Kinder an einer ausländischen Eliteuniversität einen USB-Stick mit Regierungsorganigrammen und Gehaltsunterlagen übergeben hat.
    • Die Mobilfunknetzsysteme im Iran wurden ursprünglich fast vollständig von koreanischen Unternehmen installiert.
      Ein Teil wurde durch chinesische Marken ersetzt, aber es sieht so aus, als seien kompromittierte Geräte koreanischer Marken noch vorhanden.
    • Wetter-Apps gehören hier zu den schlimmsten Beispielen.
      Wenn man ihnen Standortzugriff gibt, teilen fast alle die Standortdaten mit Datenbrokern.
      Heute das Wetter prüfen, morgen bombardiert werden.
  • Der Link ist offline, daher hier:
    https://web.archive.org/web/20250506145643/https://smex.org/...
    Der ursprüngliche Text lässt ziemlich viel dazu aus, was AppCloud ist: Im Kern ist es Samsungs Methode, Nutzer von Nicht-Flaggschiff-Geräten zu monetarisieren, und ermöglicht auch, Installationswerbung in die Benachrichtigungsleiste einzublenden oder Apps stillschweigend zu installieren.
    Wenn ich das persönlich auf meinem Gerät entdecken würde, wäre das wohl der letzte Anstoß, zähneknirschend doch auf ein privates Apple-Gerät umzusteigen.

    • Warum nicht einfach kein Samsung kaufen? Ich kann zwar nicht sicher sein, dass meine Handymarke nichts Ähnliches macht, aber zumindest ist sie bisher noch nicht in den Nachrichten deswegen aufgetaucht.
    • Man muss Android nicht aufgeben. Es gibt Fairphone: https://fairphone.com
      Das Standard-Android ist auch okay, und wenn man mehr Privatsphäre will, ist die Installation von e/OS/ sehr einfach.
      Es überrascht mich, dass es Leute gibt, die unter irgendwelchen Umständen zu dem Schluss kommen, ein Samsung-Produkt sei kaufenswert.
    • Kauf ein 5 Jahre altes iPhone. Es ist wahrscheinlich immer noch besser als ein Billig-Smartphone, bekommt länger Support, und die Gebrauchtpreise sind am Boden.
      Ich habe kürzlich mein iPhone XS ersetzt, nicht weil es nötig war, sondern weil ich sehen wollte, wie das neue Modell ist.
      Das iPhone 16 ist kaum als besser zu bezeichnen, und ich war überrascht, wie niedrig der Gebrauchtpreis des XS ist, obwohl es immer noch die meisten Mittelklasse-Android-Geräte deutlich hinter sich lässt.
    • Ich kann mit Sicherheit sagen, dass sie dasselbe auch bei Flaggschiff-Smartphones machen. Besonders bei Geräten von Mobilfunkanbietern; ich habe es selbst erlebt.
      Ich habe mehrfach Benachrichtigungen von Apps gesehen, von denen ich noch nie gehört hatte.
      In letzter Zeit denke ich ständig daran: Samsung macht still und heimlich solche fragwürdigen Dinge auf meinem Smartphone, dazu kommen Ärgernisse wie die erzwungene Galaxy-AI-Integration, die sichtbar wird, wenn man im Browser oder in einer WebView Text markiert, nicht entfernbare Funktionen und die miserable Samsung-Pay-Oberfläche – all das lässt mich jeden Tag meine Gerätewahl infrage stellen.
  • Der Teil mit „nicht entfernbar“ ist nicht ganz korrekt
    Da es auf der Systempartition liegt, kann man es zwar nicht vollständig entfernen, aber vermutlich per adb-Befehl deaktivieren:
    adb shell pm uninstall --user 0 com.package.name
    Dieser Befehl funktioniert bei jeder App, sogar bei Apps, bei denen „Deaktivieren“ in den Einstellungen ausgegraut ist, und ist daher sehr mächtig. Auf meinem S9 habe ich damit zum Beispiel den Galaxy Store deaktiviert

    • Wenn man „nicht entfernbar“ sagt und dann „vollständig entfernen kann man es nicht“, klingt das, sofern mein Englisch nicht völlig danebenliegt, ziemlich genau nach der Definition von nicht entfernbar
    • Bei Samsung-Smartphones habe ich genau dasselbe gemacht
      Ich habe hier auch ein kleines Tutorial dazu geschrieben (https://harigovind.org/notes/removing-samsung-android-bloatw...)
      Trotzdem tauchten solche Apps nach Systemupdates sofort wieder auf, und die Updates kamen immer häufiger
      Kurz darauf habe ich es verkauft und nutze heute ein Moto mit vergleichsweise wenig Bloatware
    • Diese Methode funktioniert nicht auf allen Smartphones
      Einige Hersteller wie Motorola nutzen die Funktion nodisable, um das Deaktivieren dieser und anderer APKs zu verhindern
      Auf meinem Motorola RAZR 5G von 2025 enthält /product/etc/nondisable XML-Dateien, in denen Carrier- und Aktivierungs-Apps von Dish Wireless, Tracfone/Verizon Value, T-Mobile und Amazon App Manager aufgeführt sind, außerdem zwei Apps des Finanzierungsanbieters PayJoy und eine App für den internen Gebrauch bei Claro
      PayJoy sperrt und deaktiviert Smartphones zur Durchsetzung der Rückholung von finanzierten Geräten; die Claro-Seite funktioniert ähnlich wie PayJoy
    • Wörter haben nicht nur eine wörtliche technische Bedeutung
      Wenn das Smartphone selbst keine Entfernung über einen einfachen, benutzerfreundlichen Standardweg erlaubt, ist es für die meisten Nutzer praktisch nicht entfernbar
      Etwas wie adb shell setzt voraus, dass man einen PC hat, auf dem das Tool korrekt installiert ist; viele Menschen haben überhaupt keinen PC
      Dazu kommen noch adb installieren, die richtigen Einstellungen setzen, ein Verbindungskabel, den Debug-Modus aktivieren und Befehle ausführen
      Das ist eher etwas für die Werkstatt als für zu Hause und unterscheidet sich nicht wesentlich vom „Chiptuning“ beim Auto
    • Samsung hat eigene PR-Teams, die dafür bezahlt werden, Fakten zu verdrehen; wenn man so etwas macht, sollte man sich wenigstens dafür bezahlen lassen
      Es wurde bereits eingeräumt, dass es nicht entfernt werden kann, und wenn zur Deaktivierung auch noch unsichere Shell-Aktionen nötig sind, heißt das fast sicher, dass es bei jedem Update wieder zurückkommt
  • Da dieser Beitrag schneller und größer hochgeht als erwartet, möchte ich etwas ergänzen
    Im gesamten MENA-Raum scheint es ähnliche Fälle zu geben
    Der SMEX-Artikel konzentriert sich zwar vor allem auf WANA, aber es gibt auch andere Berichte ([1]) über ähnliche Praktiken von Samsung in der MENA-Region
    Dort wird es allerdings nicht „AppCloud“, sondern „Aura“ genannt
    [1] https://www.moroccoworldnews.com/2025/06/212144/samsung-embe...

    • Das ist dasselbe. SMEX sitzt im Libanon, und (S)WANA ist ein nerviger Begriff, der derzeit als Alternative zu MENA kursiert
    • Worin liegt der Unterschied zwischen WANA und MENA? Klingt nach derselben Region
    • Ich habe früher eine Flotte von Unternehmens-Mobilgeräten verwaltet
      Dieser AppCloud-Müll wurde auch auf Europe Open Market-Geräte gepusht
      Und soweit ich weiß, hätte das auf Unternehmensgeräten nicht installiert werden dürfen. Ich erinnere mich nicht mehr genau, ob es Android Enterprise unter MDM-Verwaltung oder E-FOTA-Verwaltung war
      Mit den Samsung-Ansprechpartnern gab es ziemlich unangenehme Gespräche
    • Auf meinem in Australien gekauften Gerät war es ebenfalls installiert
  • AppCloud wurde von dem umstrittenen israelischstämmigen Unternehmen ironSource entwickelt und gehört inzwischen dem US-Unternehmen Unity
    Genau, der Firma hinter der Unity-3D-Engine

    • Damit kann man Unity allein durch die Verbindung wohl auch als Malware betrachten
    • Das Seltsamste an dieser Fusion war, dass Unity 4,4 Milliarden Dollar an IronSource gezahlt hat
  • Europa und Nordamerika sind genauso betroffen
    Auf Samsung-Geräten gibt es AppCloud
    Manchmal ist es von Anfang an da, manchmal erscheint es nach einem Systemupdate, manchmal nach einem Sicherheitsupdate. Sicherheitsupdate, wie ironisch
    Ob das Gerät an einen Mobilfunkanbieter gebunden ist oder nicht, spielt keine Rolle
    In manchen Fällen sieht man es erst, wenn man in der App-Liste der Geräteeinstellungen den Schalter „Systemanwendungen anzeigen“ aktiviert
    Es gibt viele Berichte, dass es auch in der Galaxy-S-Serie enthalten war
    Diese AppCloud ist wirklich absurd

  • Dieser Artikel enthält kaum technische Details, und die Belege für die Behauptungen der Autoren sind dünn
    Es ist ein Empörungsartikel, der eher auf emotionale Reaktionen zielt als auf neugierige, intelligente Analyse

    • Das wirkt eher wie ein offener Brief an Samsung als wie ein Artikel, der Leser überzeugen soll
      Zumindest kann man daraus wohl die Forderung nach Transparenz mitnehmen
  • Man sollte Formulierungen wie „Für normale Nutzer ist es ohne Root-Zugriff nahezu unmöglich, das zu entfernen; Rooting macht die Garantie ungültig und schafft Sicherheitsrisiken“ nicht wiederholen.
    Damit wiederholt man nur die Unternehmenspropaganda, die diese dumme Situation überhaupt geschaffen hat.
    Root-Zugriff auf ein Gerät zu haben, das man besitzt, sollte ein Grundrecht sein; andernfalls ist es kein Eigentum.

    • Wir brauchen ein Gesetz, das jedes Hardwaregerät, auf dem Software ausgeführt werden kann, die von Dritten und nicht vom Hardwarehersteller entwickelt wurde, als Allzweck-Computergerät einstuft.
      Bei solchen Geräten dürfte es keine kryptografischen oder sonstigen Beschränkungen dafür geben, welche Software der Nutzer ausführen will.
      Das sollte für alle programmierbaren Komponenten des Geräts gelten, einschließlich Low-Level-Hardware-Controller.
      Solche Beschränkungen reichen sogar über ein bestimmtes Gerät hinaus.
      Es sollte auch illegal sein, dass kommerzielle Akteure Sicherheitssysteme durchsetzen, die eine Remote Attestation des Software-Stacks auf Client-Geräten erzwingen und es Dienstanbietern erlauben, Clients wegen fehlgeschlagener Attestation abzuweisen.
      Dienstanbieter haben andere Mittel, um sich zu schützen.
      Nutzer daran zu hindern, ihre eigenen Geräte zu kontrollieren, ist ein überzogener und unnötig harter Ansatz, der letztlich nur den Werbefirmen nützt, die den Software-Stack bauen. Sie profitieren davon, einzuschränken, welche Software Nutzer ausführen können.
      Sie könnten zum Beispiel ein Interesse daran haben, zu verhindern, dass man einen Videoplayer so modifiziert, dass er Werbung überspringt.
    • Sind wir inzwischen nicht so weit zurückgefallen, dass Rooting architektonisch garantiert Sicherheitsnachteile hat?
      Zum Beispiel, weil Verified Boot blockiert wird, da die Attestation nicht an den Nutzer gebunden ist, sondern an diese Unternehmen.
    • Die jüngste „Lizenz zur Nutzung der Hardware“ der Switch 2 scheint die Vorstellung, Hardware tatsächlich zu besitzen und damit frei machen zu können, was man will, vollständig getötet zu haben.
      Gerade in Afrika dürften Privatsphäre und Verbraucherrechte vermutlich weniger wichtig genommen werden als in den USA oder der EU.
    • Guter Punkt.
      Der Satz „Wenn man ein Telefon rootet, kann das die Garantie ungültig machen und Sicherheitsrisiken schaffen“ ist für sich genommen faktisch nicht falsch, aber es wird sehr problematisch, wenn man Tatsachenaussagen als eine Art Werturteil auffasst.
      Ebenso ist eine Aussage wie „Wenn man nicht aufpasst, kann man sich an Feuer verbrennen“ ziemlich verdreht formuliert. Viele Menschen sind schließlich für Essen und Heizung auf Feuer angewiesen.
    • Die aktuelle rechtliche Realität mag Unternehmenspropaganda sein, aber sie ist nicht nur Unternehmenspropaganda, sondern auch eine tatsächliche rechtliche Realität.
      In vielen Rechtsordnungen gilt tatsächlich: „Root-Zugriff macht die Garantie ungültig.“ Unabhängig davon, wie es dazu gekommen ist.
      Daher ist es weniger ein Verbreiten von Propaganda zur Unterstützung irgendeines Ziels, sondern eher schlicht eine Beschreibung dessen, was ist.
  • Samsung ist ein koreanisches Unternehmen.
    Korea braucht den Schutz der USA.
    Man sollte davon ausgehen, dass alles aus Korea unter dem Segen der NSA steht.

  • Ich habe Smartphones aufgegeben.
    Sie sind alle in kaum hinnehmbarem Maß schlecht und nehmen dem Leben meist mehr Wert, als sie hinzufügen.
    Wegen der Zertifikate, die ich zum Ausführen von DUO für die Arbeit brauche, habe ich nur ein 50-Dollar-Android-Tablet; alles andere erledige ich mit einem UMPC mit Modemkarte und VoIP.

    • Es gibt viele schlechte Seiten, aber GPS-Karten sind für Menschen, die viel reisen, enorm wertvoll.
      Für Bewertungen von Geschäften und Infos zum öffentlichen Verkehr nutze ich Google Maps, für Wanderwege OSMAnd.
      Und obwohl ich es wirklich hasse, alle Daten an Google zu schicken, ist die Google-Translate-App bei der Kommunikation in nicht englischsprachigen Ländern unverzichtbar.