Samsung preinstala por la fuerza el spyware AppCloud de ironSource en smartphones de la región WANA

 (smex.org)
1 puntos por GN⁺ 2025-06-22 | 1 comentarios | Compartir por WhatsApp
  • En los smartphones de las series A y M de Samsung viene preinstalado, sin consentimiento del usuario, un bloatware llamado AppCloud
  • AppCloud fue desarrollado por ironSource (empresa fundada en Israel, actualmente propiedad de Unity) y es objeto de controversia por recopilar información sensible y no poder eliminarse
  • La política de privacidad es opaca y no se informa a los usuarios qué datos se recopilan ni cómo se usan
  • La forma de instalación forzada podría violar las leyes regionales de protección de datos y el GDPR
  • Organizaciones como SMEX piden a Samsung transparencia, una opción de eliminación y que deje de preinstalarlo en el futuro

Se plantea el problema: polémica por la instalación forzada de bloatware en teléfonos Samsung de la región WANA

  • Recientemente se han reunido numerosos reportes de usuarios de Asia Occidental y África del Norte (WANA) sobre la preinstalación en smartphones Samsung de un bloatware intrusivo y poco conocido llamado AppCloud
  • Se instala sin consentimiento del usuario ni aviso previo, y ha generado serias preocupaciones por la recopilación de datos personales sensibles, la imposibilidad de eliminarlo y la falta de claridad de su política de privacidad

AppCloud e ironSource

  • AppCloud fue desarrollado por ironSource (fundada en Israel y actualmente propiedad de Unity), y la naturaleza de la empresa junto con las restricciones legales regionales generan controversias legales y éticas adicionales
  • Samsung no ofrece ninguna transparencia sobre las funciones de AppCloud, los datos que recopila ni las opciones de elección del usuario

Solicitudes de la carta abierta de SMEX

  • Se solicita urgentemente a Samsung que haga pública la política de privacidad de AppCloud, su forma de tratamiento de datos y los métodos para eliminarlo o desactivarlo
  • También se recomienda que, en futuras preinstalaciones en dispositivos, se tome en cuenta el derecho a la privacidad, y se pide una reunión para discutir el tema

Situación de la instalación de AppCloud y preocupaciones

  • Desde la ampliación de la colaboración entre Samsung e ironSource en 2022, los nuevos productos de las series A y M traen AppCloud instalado por defecto
  • Según el análisis de SMEX, este software está profundamente integrado en el sistema operativo (O/S), por lo que no puede eliminarse con permisos de usuario normales
  • No puede retirarse sin hacer root, y aunque se desactive, vuelve a restaurarse durante las actualizaciones del sistema

Falta de transparencia de la política de privacidad

  • La política de privacidad de AppCloud no existe o no es posible acceder a ella
  • No se explica de forma transparente qué datos recopila y utiliza, ni cómo los protege
  • Recopila datos personales, incluidos datos sensibles del usuario como información biométrica, IP e identificadores del dispositivo

Instalación sin consentimiento y posible violación de la ley

  • AppCloud se instala automáticamente sin consentimiento del usuario, lo que podría violar el GDPR y las leyes de protección de datos de países de la región WANA
  • Además, se destaca un problema legal y ético adicional: ironSource tiene prohibido operar en algunos países por normativas regionales (por ejemplo, Líbano)

Problemas en los términos de servicio de Samsung

  • Los términos de servicio solo mencionan de forma general las apps de terceros, pero no ofrecen información concreta sobre ironSource ni AppCloud
  • No existe un aviso específico sobre AppCloud, pese a que tiene amplios permisos de acceso y control de datos, lo que evidencia una falta de transparencia

Vulneración de derechos de los usuarios e impacto en el mercado

  • La instalación forzada de AppCloud constituye una vulneración de los derechos de privacidad y seguridad de los usuarios y, considerando la cuota de mercado dominante de Samsung en la región, genera preocupación por su serio impacto social
  • Ante esta situación, las organizaciones piden lo siguiente
    • Divulgación completa y acceso garantizado a la política de privacidad de AppCloud y a su uso y tratamiento de datos
    • Instrucciones claras sobre cómo optar por no participar y eliminarlo por completo, con soporte para hacerlo sin afectar la estabilidad del dispositivo
    • Una explicación clara de por qué se decidió preinstalarlo en dispositivos de las series A y M en la región WANA
    • Reconsiderar por completo su preinstalación en futuros productos y garantizar los derechos de privacidad (con base en el artículo 12 de la Declaración Universal de los Derechos Humanos)
    • Una reunión de discusión concreta con responsables de Samsung sobre sus políticas de privacidad del usuario y protección de datos
  • Se espera una respuesta rápida y la cooperación de Samsung para proteger la privacidad y la seguridad de los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-06-22
Comentarios en Hacker News

  • Sospecho que la vigilancia masiva con fines publicitarios corporativos y la vigilancia de las agencias estatales de inteligencia están estrechamente relacionadas con el reciente caso en el que altos científicos nucleares y oficiales militares iraníes fueron atacados en sus casas. Sea cual sea el país o el bando, creo que hoy todos estarían de acuerdo en que con solo datos “semipúblicos” —como información de clientes que venden las empresas o apps con funciones de espionaje integradas— ya se puede inferir demasiado sobre una persona. Ahora las agencias de inteligencia pueden subcontratar la recolección de información al mercado, lo que la vuelve mucho más barata y conveniente que los métodos tradicionales. Durante mucho tiempo se ignoró el lema de que “la privacidad es un derecho humano”, pero ojalá pronto los políticos también entiendan que la privacidad es un tema de seguridad nacional

    • La verdad es una realidad que está fuera de la ventana de Overton (el rango de conversación social y políticamente aceptado). En la era de los drones, la privacidad es una cuestión de defensa civil, y aun así los Estados existentes llevan en su propia estructura de bases de datos masivas de PII (información de identificación personal) esa vulnerabilidad. Fuerzas insurgentes podrían robar esas bases de datos y usarlas para seleccionar objetivos, y al final los Estados solo siguen aferrados a la vieja ilusión del control territorial. En comparación con antes, el control se reducirá a unas cuantas instalaciones secretas fortificadas, y tengo el presentimiento de que las cosas se volverán muy impredecibles y extremadamente violentas

    • Solemos imaginar operaciones de película de espionaje donde alguien rastrea en secreto, hackeando smartphones, a las personas que visitaron instalaciones nucleares, pero creo que una explicación mucho más lógica es un escenario más realista: acercarse a un empleado de bajo nivel de la MEAF (agencia de energía iraní), obtener de él una USB con el organigrama del gobierno y los registros salariales, y a cambio conseguir que su hijo reciba una beca en una universidad extranjera prestigiosa

    • Tengo entendido que gran parte del sistema de redes celulares de Irán fue instalado originalmente por empresas coreanas, y que después algunas partes se cambiaron por marcas chinas, pero que todavía queda equipo coreano problemático

    • A objetivos de alto valor como estos (generales o científicos iraníes), una vez que los ubicas una sola vez, ya se les puede seguir continuamente por satélite. Ni siquiera hace falta una ubicación precisa; basta con saber qué edificio bombardear

    • Las apps del clima son de las peores culpables cuando se trata de compartir datos de ubicación con brokers. Revisas el clima hoy y mañana aumenta tu riesgo de bombardeo

  • Comparto el enlace original (https://web.archive.org/web/20250506145643/…) porque está caído. El artículo no explica bien qué es AppCloud, pero en esencia es una forma de monetizar a los usuarios de dispositivos Samsung que no son flagship, y puede insertar anuncios en las notificaciones o instalar apps a escondidas. Si encontrara algo así en mi dispositivo, se me acabaría la paciencia y me cambiaría a productos de Apple

    • Yo más bien pensaría: ¿por qué no simplemente dejar de comprar Samsung? Claro, mi marca de teléfono también podría hacer algo parecido, pero como todavía no ha salido en las noticias, eso me da algo más de tranquilidad

    • Te lo digo por experiencia: a los modelos flagship, especialmente las versiones de operador, les pasa exactamente lo mismo. Me siguen llegando notificaciones de apps que nunca había visto, y últimamente, entre que Samsung metió Galaxy AI a la fuerza (y jamás desaparece al seleccionar texto en el navegador) y mis quejas con la interfaz, me arrepiento de mi elección todos los días

    • Si compras un iPhone de hace 5 años de segunda mano, sale barato, tiene soporte por mucho tiempo y además rinde mejor que un teléfono barato. Yo pasé de un XS a un modelo nuevo, pero el 16 tampoco se siente tan distinto, y me sorprendió lo poco que vale usado. Un iPhone viejo suele sentirse muchísimo más fluido que un Android de gama media

    • No hace falta abandonar Android. También está Fairphone (https://fairphone.com). Android base está bien, y si quieres privacidad, instalar e/OS/ es facilísimo. De verdad no entiendo cómo alguien todavía puede concluir que vale la pena comprar un dispositivo Samsung

  • La parte de “imposible de eliminar” no es del todo exacta. No se puede borrar por completo, pero como está en la partición del sistema, en la mayoría de los casos sí se puede desactivar con un comando de adb. Yo incluso desactivé Galaxy Store con el siguiente comando

    adb shell pm uninstall --user 0 com.package.name

    • Si es “unremovable” pero “no se puede borrar por completo”, entonces yo diría que eso es precisamente la definición de imposible de eliminar

    • Este método no aplica a todos los teléfonos. Fabricantes como Motorola usan la función nodisable para impedir por completo la desactivación del APK. En mi Motorola RAZR 5G modelo 2025 hay archivos XML en la ruta /product/etc/nondisable que especifican nombres de apps para operadores y empresas financieras

    • Yo también las eliminé con el mismo comando adb en un teléfono Samsung, y hasta dejé documentado el método (https://harigovind.org/notes/removing-samsung-android-bloatware/). Pero esas apps vuelven a aparecer con cada actualización del sistema, así que al final dejé Samsung y me cambié a un Moto con menos bloatware

    • Samsung seguramente tiene un equipo de PR al que le pagan para maquillar los hechos, así que si al menos vas a cubrirles esto, tú también deberías cobrar. Ya admitiste que no puedes borrarlo directamente, y si tienes que usar hasta comandos de shell para apagarlo, entonces al final es una estructura donde revive con cada actualización

    • El significado de las palabras no tiene por qué usarse siempre solo en un sentido técnico y literal. Si los usuarios comunes no pueden eliminar una app de forma fácil e intuitiva, en la práctica eso equivale a que sea "imposible de eliminar". Los comandos adb requieren PC, cable, instalar adb, modo de depuración y más; para una persona común eso está prácticamente al nivel de llevarlo a servicio técnico, algo parecido al chip tuning de un auto

  • Como esto se está difundiendo más rápido de lo que esperaba, agrego una aclaración. Se han visto casos similares en toda la región MENA (Medio Oriente y Norte de África). El texto de SMEX se enfoca en WANA (Asia Occidental y Norte de África), pero en MENA también se conoce con el nombre de “Aura” en vez de “AppCloud”. Hay una nota relacionada aquí: https://moroccoworldnews.com/2025/06/…

    • SMEX es una organización con base en Líbano, y según explican, (S)WANA es un término reciente que hoy se usa para reemplazar la denominación MENA

    • WANA y MENA son básicamente la misma región

    • Yo trabajé en administración de dispositivos móviles empresariales. Este AppCloud se instaló de forma muy amplia, incluyendo dispositivos open market en Europa. En especial no debería estar jamás en equipos empresariales (incluidos dispositivos administrados con MDM empresarial y E-FOTA). Incluso tuve conversaciones incómodas con Samsung por este tema

    • Mi dispositivo comprado en Australia también lo tenía instalado

  • AppCloud fue desarrollado por ironSource, una startup israelí bastante polémica, y recientemente fue adquirida por la empresa estadounidense Unity

    • Entonces ahora ya se puede hacer el chiste de que Unity está relacionada con malware

    • Lo más raro de la fusión es que Unity compró ironSource por nada menos que 4.4 mil millones de dólares

  • Estaba considerando comprar Samsung porque pensaba que era la única opción de smartphone no chino por menos de 150 dólares y sin controversias de spyware, pero ahora las alternativas que quedan son poco claras. Si hay teléfonos en los que se pueda instalar firmware de código abierto, consideraría eso. Como no confío en mi teléfono, no guardo ninguna información importante en él y tampoco inicio sesión ni instalo apps. Cualquier dispositivo que no corra Linux simplemente no me inspira confianza

  • En Europa y Norteamérica también viene instalado AppCloud en teléfonos Samsung. Aparece tras el estado inicial, después de actualizaciones del sistema e incluso después de actualizaciones de seguridad (¡irónicamente!). No depende de si está bloqueado por operador, y a veces solo aparece si activas “mostrar apps del sistema” en la configuración. Muchos usuarios lo están reportando, incluyendo en la serie Galaxy S. Toda la polémica alrededor de AppCloud me parece completamente absurda

  • El problema de la cadena de suministro es la realidad más “cyberpunk” de la seguridad moderna. Esto no depende de matemáticas, sino de confianza, poder y dinero. Me pregunto si todavía queda alguna posibilidad de introducir verificación criptográfica en la cadena de suministro de una forma que también mantenga seguros a los clientes, o si ya es demasiado tarde y solo nos queda un futuro distópico cyberpunk. Me hace pensar si las matemáticas todavía pueden cambiar esta situación

  • La afirmación de “no se puede eliminar sin root, y si haces root pierdes la garantía + introduces riesgos de seguridad” es exactamente la frase de propaganda corporativa que nos metió en esta situación absurda. Si yo soy dueño del dispositivo, entonces el acceso root también debería ser un derecho obvio para que exista una propiedad real

    • Legalmente, todo hardware capaz de ejecutar software de terceros debería considerarse un dispositivo de cómputo de propósito general, y debería prohibirse cualquier restricción criptográfica o de otro tipo sobre el software que el usuario puede ejecutar (por ejemplo, secure boot, remote attestation, etc.). Esto también debería aplicar a todos los componentes del dispositivo. Además, también debería prohibirse que un proveedor rechace servicio por fallas en remote attestation (aunque sea con el pretexto de protegerse a sí mismo). Al final, esas restricciones benefician no al usuario sino a los anunciantes, por ejemplo impidiendo saltarse anuncios mediante modificaciones al reproductor de video

    • En la estructura actual, hacer root inevitablemente implica pérdidas de seguridad. El hecho de no poder usar Verified Boot y que la attestation esté en manos de la empresa son ambos problemas estructurales

    • Últimamente todo se ha convertido en una especie de “licencia de uso de hardware”, y ya hasta nos quitan la libertad de usar libremente dispositivos que supuestamente son nuestros. En especial fuera de Estados Unidos y Europa, por ejemplo en África, hasta las nociones de privacidad y derechos del consumidor son muy débiles

    • La realidad legal actual es resultado de la propaganda corporativa, pero al mismo tiempo también es una realidad material. “root access voids warranty” es de hecho cierto en muchas regiones. No es solo repetir propaganda; se acerca más a describir una realidad

    • La frase “hacer root anula la garantía y supone riesgos de seguridad” no tiene nada de falso, pero si igualas un hecho real con un juicio de valor, el tema se vuelve más complejo. Por ejemplo, una advertencia como “puedes quemarte con el fuego” simplifica demasiado algo que en la práctica mucha gente necesita para cocinar o calentarse

  • No trabajo en este campo, pero me pregunto si, incluso sacrificando rendimiento, sería posible hasta cierto punto que el mejor talento de hardware y software construyera un smartphone completamente seguro, siempre que el objetivo fuera solo la seguridad (excluyendo hardware occidental cerrado). Por ejemplo, algo con microkernel verificado, mensajería cifrada de extremo a extremo por defecto, memoria cifrada, cifrado para la comunicación entre procesos, e interruptores físicos para módem, periféricos y batería ya sería bastante significativo

    • Pero más allá de si es técnicamente posible, eso no significa nada frente al poder del capital. El capital jamás permitirá dispositivos que no pueda controlar por sí mismo. Un dispositivo realmente seguro al final no pasa de ser un sueño

    • Quiero subrayar que un microkernel verificado al nivel necesario para usarse en producción sería una tarea de ingeniería enorme