Samsung บังคับติดตั้งสปายแวร์ AppCloud ของ IronSource บนสมาร์ตโฟนในภูมิภาค WANA

 (smex.org)
1 คะแนน โดย GN⁺ 2025-06-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • สมาร์ตโฟนซีรีส์ A และ M ของ Samsung ถูกติดตั้งโบลตแวร์ชื่อ AppCloud มาล่วงหน้าโดยไม่มีความยินยอมจากผู้ใช้
  • AppCloud ดังกล่าวพัฒนาโดย ironSource (บริษัทที่ก่อตั้งในอิสราเอล ปัจจุบันอยู่ภายใต้การถือครองของ Unity) และกำลังเป็นประเด็นถกเถียงจากการเก็บข้อมูลอ่อนไหวและลบออกไม่ได้
  • นโยบายความเป็นส่วนตัวไม่มีความโปร่งใส และไม่ได้แจ้งผู้ใช้ว่า มีการเก็บข้อมูลอะไรบ้างและนำไปใช้อย่างไร
  • วิธีการติดตั้งแบบบังคับอาจเข้าข่ายละเมิดกฎหมายคุ้มครองข้อมูลในแต่ละภูมิภาคและ GDPR
  • องค์กรอย่าง SMEX เรียกร้องให้ Samsung แสดง ความโปร่งใส เพิ่มตัวเลือกการลบ และยุติการติดตั้งล่วงหน้าในอนาคต

การตั้งข้อกังวล: โทรศัพท์ Samsung ในภูมิภาค WANA ถูกวิจารณ์เรื่องติดตั้งโบลตแวร์แบบบังคับ

  • เมื่อไม่นานมานี้ มีการรวบรวมรายงานจำนวนมากจากผู้ใช้ในภูมิภาค เอเชียตะวันตกและแอฟริกาเหนือ (WANA) ว่าสมาร์ตโฟน Samsung ถูกติดตั้งโบลตแวร์เชิงรุกที่แทบไม่มีใครรู้จักอย่าง AppCloud มาล่วงหน้า
  • แอปถูกติดตั้งโดยไม่มีความยินยอมหรือการแจ้งล่วงหน้า พร้อมก่อให้เกิดความกังวลร้ายแรงเรื่อง การเก็บข้อมูลส่วนบุคคลที่อ่อนไหว, การลบออกไม่ได้ และความไม่โปร่งใสของนโยบายความเป็นส่วนตัว

AppCloud และ ironSource

  • AppCloud พัฒนาโดย ironSource (ก่อตั้งในอิสราเอล ปัจจุบันอยู่ภายใต้ Unity) และลักษณะของบริษัทนี้รวมถึงข้อจำกัดทางกฎหมายในบางภูมิภาคยิ่งทำให้เกิดข้อถกเถียงด้านกฎหมายและจริยธรรมเพิ่มเติม
  • Samsung ไม่ได้ให้ความโปร่งใสใด ๆ เกี่ยวกับความสามารถของ AppCloud, ข้อมูลที่เก็บรวบรวม หรือสิทธิในการเลือกของผู้ใช้

ข้อเรียกร้องในจดหมายเปิดผนึกของ SMEX

  • มีการร้องขออย่างเร่งด่วนให้ Samsung เปิดเผย นโยบายความเป็นส่วนตัว, วิธีการประมวลผลข้อมูล และวิธีลบ/ปิดการใช้งาน AppCloud
  • นอกจากนี้ยังแนะนำให้คำนึงถึง สิทธิในการคุ้มครองข้อมูลส่วนบุคคล สำหรับการติดตั้งล่วงหน้าบนอุปกรณ์ในอนาคต และเรียกร้องให้มีการนัดประชุมเพื่อหารือประเด็นนี้

สถานะการติดตั้ง AppCloud และข้อกังวล

  • หลังจาก Samsung และ ironSource ขยายความร่วมมือในปี 2022 ก็มีการติดตั้ง AppCloud เป็นค่าเริ่มต้นบน ผลิตภัณฑ์ใหม่ในซีรีส์ A และ M
  • ตามการวิเคราะห์ของ SMEX ซอฟต์แวร์นี้ ผสานลึกเข้ากับระบบปฏิบัติการ (O/S) จนผู้ใช้ไม่สามารถลบออกได้ด้วยสิทธิ์ปกติ
  • หากไม่รูทเครื่องก็ไม่สามารถนำออกได้ และแม้จะปิดการใช้งานไว้ ระบบก็จะกู้คืนกลับมาหลังการอัปเดตระบบ

ความไม่โปร่งใสของนโยบายความเป็นส่วนตัว

  • นโยบายความเป็นส่วนตัวของ AppCloud อาจไม่มีอยู่จริง หรือไม่สามารถเข้าถึงข้อมูลได้
  • ไม่มีการอธิบายอย่างโปร่งใสว่ามีการเก็บและใช้ข้อมูลอะไร รวมถึงปกป้องข้อมูลอย่างไร
  • มีการเก็บข้อมูลส่วนบุคคลรวมถึงข้อมูลผู้ใช้ที่อ่อนไหว เช่น ข้อมูลชีวมิติ, IP และข้อมูลระบุตัวอุปกรณ์

การติดตั้งโดยไม่มีความยินยอมและความเสี่ยงด้านกฎหมาย

  • AppCloud ถูกติดตั้งอัตโนมัติโดย ไม่ได้รับความยินยอมจากผู้ใช้ จึงอาจเข้าข่ายละเมิด GDPR และกฎหมายคุ้มครองข้อมูลของประเทศในภูมิภาค WANA
  • ยังมีการชี้ว่า ironSource ถูกห้ามดำเนินธุรกิจในบางประเทศตามกฎหมายท้องถิ่น (เช่น เลบานอน) ซึ่งยิ่งตอกย้ำปัญหาทางกฎหมายและจริยธรรมเพิ่มเติม

ปัญหาในข้อกำหนดการใช้งานของ Samsung

  • ข้อกำหนดการใช้งานบริการกล่าวถึงเพียง แอปของบุคคลที่สาม แบบกว้าง ๆ โดยไม่มีคำอธิบายเฉพาะเกี่ยวกับ ironSource หรือ AppCloud
  • ไม่มีการแจ้งแยกต่างหากเกี่ยวกับ AppCloud ทั้งที่มันมีสิทธิ์เข้าถึงและควบคุมข้อมูลจำนวนมาก จึงถือว่าขาดความโปร่งใส

การละเมิดสิทธิของผู้ใช้และผลกระทบต่อตลาด

  • การบังคับติดตั้ง AppCloud เข้าข่าย ละเมิดสิทธิด้านความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ และเมื่อพิจารณาจากส่วนแบ่งตลาดที่สูงมากของ Samsung ในภูมิภาคนี้ ก็ยิ่งน่ากังวลว่าจะสร้างผลกระทบทางสังคมอย่างรุนแรง
  • ต่อสถานการณ์นี้ องค์กรต่าง ๆ ได้เรียกร้องดังต่อไปนี้
    • เปิดเผยแนวทางการประมวลผลข้อมูลส่วนบุคคลและการใช้ข้อมูลของ AppCloud ทั้งหมด พร้อมทำให้เข้าถึงได้จริง
    • ชี้แจงวิธี opt-out และการลบออกอย่างสมบูรณ์ อย่างชัดเจน และรองรับให้ทำได้โดยไม่กระทบเสถียรภาพของอุปกรณ์
    • อธิบายเหตุผลอย่างชัดเจนของการตัดสินใจติดตั้งล่วงหน้าบนอุปกรณ์ซีรีส์ A และ M ในภูมิภาค WANA
    • ทบทวนการติดตั้งล่วงหน้าบนผลิตภัณฑ์ใหม่ทั้งหมดในอนาคต และรับประกันสิทธิด้านข้อมูลส่วนบุคคล (ตามข้อ 12 ของปฏิญญาสากลว่าด้วยสิทธิมนุษยชน)
    • จัดประชุมหารืออย่างเป็นรูปธรรมกับผู้รับผิดชอบของ Samsung เกี่ยวกับนโยบายความเป็นส่วนตัวและการคุ้มครองข้อมูลของผู้ใช้
  • เพื่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ จึงคาดหวังให้ Samsung ตอบสนองและให้ความร่วมมือโดยเร็ว

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-06-22
ความเห็นจาก Hacker News

  • ฉันสงสัยว่าการสอดส่องมวลชนเพื่อจุดประสงค์ทางโฆษณาของบริษัท และการสอดแนมของหน่วยข่าวกรองรัฐ มีความเกี่ยวข้องอย่างใกล้ชิดกับกรณีล่าสุดที่นักวิทยาศาสตร์นิวเคลียร์ระดับสูงและนายทหารอิหร่านถูกโจมตีถึงบ้าน ไม่ว่าประเทศไหนหรืออยู่ฝ่ายไหน ทุกคนคงเห็นตรงกันว่า ทุกวันนี้แค่ข้อมูล “กึ่งสาธารณะ” (เช่น ข้อมูลลูกค้าที่บริษัทขาย หรือแอปที่ฝังฟังก์ชันสอดแนม) ก็เพียงพอให้อนุมานเรื่องของคนคนหนึ่งได้มากเกินไปแล้ว ตอนนี้หน่วยข่าวกรองสามารถเอาต์ซอร์ซการเก็บข้อมูลให้ตลาดทำแทนได้ ทำให้ถูกกว่าและสะดวกกว่าวิธีดั้งเดิมมาก เสียงเรียกร้องว่า “ความเป็นส่วนตัวคือสิทธิมนุษยชน” ถูกเพิกเฉยมานาน แต่หวังว่าอีกไม่นานนักการเมืองจะตระหนักว่าความเป็นส่วนตัวเป็นประเด็นความมั่นคงของชาติด้วย

    • ความจริงคือสิ่งที่อยู่นอก Overton Window (ขอบเขตของบทสนทนาที่สังคมและการเมืองยอมรับ) ในยุคโดรน ความเป็นส่วนตัวคือเรื่องของการป้องกันตนเองของพลเรือน แต่รัฐที่มีอยู่ในปัจจุบันกลับสร้างฐานข้อมูล PII (ข้อมูลระบุตัวบุคคล) ขนาดมหึมาที่มีช่องโหว่นั้นฝังอยู่ในโครงสร้างเอง กลุ่มกบฏสามารถขโมยฐานข้อมูลเหล่านี้ไปใช้เลือกเป้าหมายได้ ดังนั้นรัฐต่าง ๆ จึงได้แต่ยึดติดกับภาพลวงตาแบบเก่าของการควบคุมอาณาเขต สุดท้ายการควบคุมจะหดเหลือเพียงสถานที่ลับที่เสริมกำลังไว้ไม่กี่แห่ง และมีลางสังหรณ์ว่าอนาคตจะทั้งคาดเดาไม่ได้อย่างมากและรุนแรงสุดขั้ว

    • เรามักจินตนาการถึงปฏิบัติการแบบหนังสายลับที่มีคนแอบติดตามผู้ที่เคยเข้าไปในโรงงานนิวเคลียร์ด้วยการแฮ็กสมาร์ตโฟน แต่คำอธิบายที่สมเหตุสมผลกว่ามากน่าจะเป็นสถานการณ์จริงแบบเข้าหาพนักงานระดับล่างของ MEAF (หน่วยงานพลังงานของอิหร่าน) แล้วรับ USB ที่มีผังองค์กรและบันทึกเงินเดือนของหน่วยงาน แลกกับการช่วยให้ลูกของพนักงานคนนั้นได้ทุนไปเรียนมหาวิทยาลัยต่างประเทศชื่อดัง

    • เคยได้ยินมาว่าระบบเครือข่ายสื่อสารเซลลูลาร์ของอิหร่านส่วนใหญ่ติดตั้งโดยบริษัทเกาหลีตั้งแต่แรก และแม้ภายหลังบางส่วนจะเปลี่ยนเป็นแบรนด์จีนแล้ว ก็ยังมีอุปกรณ์เกาหลีที่มีปัญหาเหลืออยู่

    • เป้าหมายมูลค่าสูงแบบนี้ (เช่น นายพล/นักวิทยาศาสตร์อิหร่าน) ขอแค่ระบุตัวได้ครั้งเดียว ก็สามารถติดตามต่อเนื่องผ่านดาวเทียมได้ ไม่จำเป็นต้องรู้พิกัดละเอียดมาก แค่รู้ว่าจะทิ้งระเบิดอาคารไหนก็พอ

    • แอปพยากรณ์อากาศเป็นหนึ่งในตัวร้ายที่สุดเรื่องการแชร์ข้อมูลตำแหน่งให้โบรกเกอร์ข้อมูล ยุคที่เช็กอากาศวันนี้แล้วพรุ่งนี้เสี่ยงโดนทิ้งระเบิด

  • ลิงก์ต้นฉบับ (https://web.archive.org/web/20250506145643/…) ล่มอยู่ เลยขอแชร์ไว้ บทความอธิบายไม่ชัดว่า AppCloud คืออะไร แต่โดยแก่นแล้วมันคือวิธีสร้างรายได้จากผู้ใช้เครื่อง Samsung ที่ไม่ใช่รุ่นเรือธง และสามารถยัดโฆษณาใส่แถบแจ้งเตือนหรือติดตั้งแอปแบบลับ ๆ ได้ ถ้าเจออะไรแบบนี้ในเครื่องตัวเอง ฉันคงหมดความอดทนและย้ายไปใช้ผลิตภัณฑ์ Apple

    • ก็แค่ไม่ซื้อ Samsung ไปเลยไม่ใช่หรือ แน่นอนว่าแบรนด์มือถือที่ฉันใช้ก็อาจทำคล้ายกันได้ แต่ยังไม่เคยเป็นข่าว เลยรู้สึกอุ่นใจกว่าอยู่บ้าง

    • ขอบอกเลยว่ารุ่นเรือธง โดยเฉพาะเวอร์ชันของผู้ให้บริการเครือข่าย ก็โดนเหมือนกัน จากประสบการณ์ตรง ฉันเจอการแจ้งเตือนเด้งจากแอปที่ไม่เคยเห็นมาก่อนอยู่เรื่อย ๆ ช่วงหลัง Samsung ยังยัด Galaxy AI มาแบบบังคับอีกด้วย (เวลาเลือกข้อความในเบราว์เซอร์แล้วมันไม่ยอมหายไปเลย) รวมถึงความไม่พอใจกับอินเทอร์เฟซ ทำให้ฉันเสียใจกับการตัดสินใจนี้ทุกวัน

    • ซื้อ iPhone มือสองอายุ 5 ปีราคาก็ไม่แพง ระยะเวลาซัพพอร์ตยาว และยังแรงกว่ามือถือราคาถูกเสียอีก ฉันเปลี่ยนจาก XS ไปเป็นรุ่นใหม่กว่า แต่ 16 ก็ไม่ได้ต่างมาก และถึงอย่างนั้นราคามือสองก็ตกจนฉันยังแปลกใจ iPhone เก่า ๆ ลื่นกว่าสมาร์ตโฟน Android ระดับกลางส่วนใหญ่มาก

    • ไม่จำเป็นต้องทิ้ง Android ก็ได้ ยังมี Fairphone(https://fairphone.com) Android เดิม ๆ ก็ดีอยู่แล้ว ถ้าอยากได้ความเป็นส่วนตัว การติดตั้ง e/OS/ ก็ง่ายมาก ฉันไม่เข้าใจจริง ๆ ว่าทำไมถึงยังสรุปได้ว่าอุปกรณ์ Samsung คุ้มค่าที่จะซื้อ

  • ส่วนที่บอกว่า “ลบไม่ได้” นั้นไม่แม่นนัก ลบออกหมดจดไม่ได้ก็จริง แต่เพราะมันอยู่ในพาร์ทิชันระบบ จึงมักปิดใช้งานได้ด้วยคำสั่ง adb ฉันเคยปิด Galaxy Store ด้วยคำสั่งข้างล่างนี้

    adb shell pm uninstall --user 0 com.package.name

    • ถ้ามัน “ลบไม่ได้” แต่ “ลบออกหมดไม่ได้” นั่นก็ถือเป็นนิยามของลบไม่ได้อยู่แล้ว

    • วิธีนี้ใช้ไม่ได้กับโทรศัพท์ทุกเครื่อง ผู้ผลิตอย่าง Motorola ใช้ฟังก์ชัน nodisable เพื่อกันไม่ให้ปิดใช้งาน APK ได้เลย ใน Motorola RAZR 5G รุ่นปี 2025 ของฉัน มีไฟล์ XML ในพาธ /product/etc/nondisable ที่ระบุชื่อแอปของค่ายมือถือและบริษัทการเงินไว้

    • ฉันก็ลบด้วยคำสั่ง adb แบบเดียวกันบนมือถือ Samsung และสรุปวิธีไว้ที่นี่ (https://harigovind.org/notes/removing-samsung-android-bloatware/) แต่แอปพวกนี้กลับมาทุกครั้งที่มีอัปเดตระบบ สุดท้ายเลยเลิกใช้ Samsung และย้ายไป Moto ที่มี bloatware น้อยกว่า

    • Samsung คงมีทีม PR ที่ใช้เงินเพื่อทำให้เรื่องนี้ดูดีขึ้น อย่างน้อยถ้าจะออกมาช่วยแก้ต่างให้ขนาดนี้ คุณก็น่าจะได้ค่าจ้างนะ คุณก็ยอมรับเองว่าลบออกตรง ๆ ไม่ได้ และต้องใช้คำสั่งเชลล์เพื่อปิดมัน สุดท้ายมันก็กลับมาทุกครั้งตอนอัปเดตอยู่ดี

    • ความหมายของคำไม่ได้จำกัดอยู่แค่เชิงเทคนิคหรือแบบตัวอักษรเสมอไป ถ้าผู้ใช้ทั่วไปไม่สามารถลบแอปได้อย่างง่ายดายและตรงไปตรงมา ในทางปฏิบัติมันก็ “ลบไม่ได้” นั่นแหละ คำสั่ง adb ต้องใช้ทั้งพีซี สายเคเบิล การติดตั้ง adb โหมดดีบัก ฯลฯ ซึ่งสำหรับคนทั่วไปแล้วแทบจะยากระดับศูนย์บริการ คล้ายกับการจูนชิปรถยนต์

  • โพสต์นี้กำลังแพร่ไปเร็วเกินคาด เลยขออธิบายเพิ่ม มีการพบกรณีคล้ายกันทั่วภูมิภาค MENA (ตะวันออกกลางและแอฟริกาเหนือ) บทความของ SMEX เน้น WANA (เอเชียตะวันตกและแอฟริกาเหนือ) แต่ในฝั่ง MENA ยังรู้จักกันในชื่อ “Aura” แทน “AppCloud” ด้วย มีบทความที่เกี่ยวข้อง (https://moroccoworldnews.com/2025/06/…)

    • SMEX เป็นองค์กรที่ตั้งอยู่ในเลบานอน และคำว่า (S)WANA ก็เป็นคำใหม่ที่กำลังนิยมใช้แทนชื่อภูมิภาค MENA

    • WANA กับ MENA แทบจะเป็นภูมิภาคเดียวกัน

    • ฉันเคยดูแลอุปกรณ์มือถือสำหรับองค์กร AppCloud นี้ถูกติดตั้งอย่างกว้างขวาง รวมถึงในอุปกรณ์ European open market ด้วย โดยเฉพาะบนอุปกรณ์องค์กรไม่ควรมีสิ่งนี้อย่างเด็ดขาด (รวมถึงอุปกรณ์ที่จัดการด้วย enterprise MDM และ E-FOTA) ฉันเคยมีบทสนทนาที่กระอักกระอ่วนกับทาง Samsung เรื่องนี้ด้วย

    • อุปกรณ์ของฉันที่ซื้อในออสเตรเลียก็มีติดตั้งมาด้วย

  • AppCloud พัฒนาโดย ironSource สตาร์ตอัปอิสราเอลที่มีข้อถกเถียงมาก และล่าสุดถูกบริษัทอเมริกัน Unity เข้าซื้อกิจการ

    • งั้นตอนนี้ก็พอจะเล่นมุกได้ว่า Unity มีเอี่ยวกับ malware แล้ว

    • สิ่งที่แปลกที่สุดคือ Unity จ่ายเงินตั้ง 4.4 พันล้านดอลลาร์เพื่อซื้อ ironSource

  • ฉันเคยคิดจะซื้อเพราะมองว่า Samsung เป็นตัวเลือกเดียวในกลุ่มสมาร์ตโฟนราคาไม่เกิน 150 ดอลลาร์ที่ไม่ใช่แบรนด์จีนและไม่มีข่าวฉาวเรื่องสปายแวร์ แต่ตอนนี้ตัวเลือกที่เหลือก็ดูไม่ชัดเจน ถ้ามีเครื่องที่ลงเฟิร์มแวร์โอเพนซอร์สได้ ฉันคงพิจารณาอันนั้น ฉันไม่ไว้ใจโทรศัพท์ของตัวเองเลย จึงไม่เก็บข้อมูลสำคัญ ไม่ล็อกอิน และไม่ติดตั้งแอปใด ๆ อุปกรณ์ที่ไม่ได้รัน Linux สำหรับฉันคือไว้ใจไม่ได้

  • ยุโรปและอเมริกาเหนือก็มี AppCloud ติดตั้งอยู่ในมือถือ Samsung เหมือนกัน มันถูกลงมาทั้งตอนเริ่มต้น หลังอัปเดตระบบ และแม้กระทั่งหลังอัปเดตความปลอดภัยด้วย (น่าประชดมาก!) ไม่เกี่ยวว่าจะล็อกกับผู้ให้บริการเครือข่ายหรือไม่ และบางครั้งจะเห็นได้ก็ต่อเมื่อเปิด “แสดงแอประบบ” ในการตั้งค่า ผู้ใช้จำนวนมากรวมถึงคนที่ใช้ Galaxy S series ก็พบสิ่งนี้ ฉันรู้สึกว่าประเด็น AppCloud นี้เหลือเชื่อจริง ๆ

  • ปัญหาซัพพลายเชนคือความจริงที่ ‘ไซเบอร์พังก์’ ที่สุดของความมั่นคงปลอดภัยยุคใหม่ เรื่องนี้ไม่ใช่คณิตศาสตร์ แต่ขึ้นกับความเชื่อใจ อำนาจ และเงิน ฉันสงสัยว่ายังพอมีโอกาสนำการตรวจสอบยืนยันเชิงคริปโตกราฟีมาใช้ในซัพพลายเชนในรูปแบบที่ลูกค้าก็ปลอดภัยได้หรือไม่ หรือว่ามันสายเกินไปแล้วและเหลือเพียงอนาคตดิสโทเปียแบบไซเบอร์พังก์เท่านั้น กำลังคิดอยู่ว่าคณิตศาสตร์จะเปลี่ยนสมการนี้ได้ไหม

  • คำกล่าวที่ว่า “ลบไม่ได้ถ้าไม่มีสิทธิ์ root และถ้า root ก็ประกันหมด+เสี่ยงด้านความปลอดภัย” เป็นถ้อยคำตามโฆษณาชวนเชื่อของบริษัทที่พาเรามาอยู่ในสถานการณ์บ้าบอนี้ ถ้าฉันเป็นเจ้าของอุปกรณ์ สิทธิ์ root ก็ควรเป็นสิทธิพื้นฐานของความเป็นเจ้าของอย่างแท้จริง

    • ในทางกฎหมาย ฮาร์ดแวร์ทุกชิ้นที่สามารถรันซอฟต์แวร์ของบุคคลที่สามได้ควรถูกมองเป็นอุปกรณ์คอมพิวเตอร์อเนกประสงค์ และควรห้ามข้อจำกัดทางคริปโตกราฟีหรือรูปแบบอื่นใดต่อซอฟต์แวร์ที่ผู้ใช้รัน (เช่น secure boot, remote attestation ฯลฯ) หลักการนี้ควรใช้กับทุกชิ้นส่วนของอุปกรณ์ด้วย นอกจากนี้ควรห้ามไม่ให้ผู้ให้บริการปฏิเสธการให้บริการเพียงเพราะ remote attestation ไม่ผ่าน (ยกเว้นกรณีเพื่อปกป้องตัวผู้ให้บริการเอง) ข้อจำกัดเหล่านี้สุดท้ายแล้วมีประโยชน์ต่อผู้ลงโฆษณาเท่านั้น ไม่ใช่ผู้ใช้ (เช่น กันไม่ให้ดัดแปลงวิดีโอเพลเยอร์เพื่อข้ามโฆษณา)

    • ภายใต้โครงสร้างปัจจุบัน การ root ย่อมทำให้ต้องสูญเสียความปลอดภัยบางส่วนอย่างหลีกเลี่ยงไม่ได้ การใช้ Verified Boot ไม่ได้ และการที่ attestation ผูกอยู่กับบริษัท ล้วนเป็นปัญหาเชิงโครงสร้างทั้งนั้น

    • ทุกวันนี้มันเหมือนกลายเป็น “ใบอนุญาตใช้ฮาร์ดแวร์” ไปแล้ว จนกระทั่งเสรีภาพในการใช้อุปกรณ์ที่ฉันเป็นเจ้าของยังถูกพรากไป โดยเฉพาะในพื้นที่นอกสหรัฐฯ/ยุโรป เช่น แอฟริกา ที่แนวคิดเรื่องความเป็นส่วนตัวและสิทธิผู้บริโภคยังอ่อนแอมาก

    • ในความเป็นจริงทางกฎหมายตอนนี้ มันเป็นทั้งผลลัพธ์ของโฆษณาชวนเชื่อจากบริษัทและเป็นความจริงที่มีอยู่จริงด้วย วลี “root access voids warranty” เป็นความจริงจริง ๆ ในหลายพื้นที่อยู่แล้ว จึงไม่ได้เป็นแค่การท่องโฆษณาชวนเชื่อซ้ำ แต่ใกล้เคียงกับการอธิบายข้อเท็จจริงมากกว่า

    • ประโยคที่ว่า “การ root ทำให้ประกันหมดและมีความเสี่ยงด้านความปลอดภัย” ไม่ได้ผิด แต่ถ้าเอาข้อเท็จจริงของโลกปัจจุบันไปเท่ากับการตัดสินเชิงคุณค่าเลย มันจะทำให้ประเด็นที่ซับซ้อนถูกทำให้ตื้นเกินไป เหมือนกับคำเตือนว่า “ไฟอาจลวกได้” ที่เรียบง่ายเกินไป ทั้งที่ในชีวิตจริงผู้คนจำนวนมากยังต้องพึ่งไฟในการทำอาหารหรือให้ความอบอุ่น

  • ฉันไม่ได้อยู่ในสายนี้ แต่ถ้าเป้าหมายคือความปลอดภัยอย่างเดียว (ยอมเสียประสิทธิภาพได้ และตัดฮาร์ดแวร์แบบปิดของฝั่งตะวันตกออก) ก็สงสัยว่าหากรวบรวมบุคลากรฮาร์ดแวร์และซอฟต์แวร์ระดับแนวหน้ามาทำงานร่วมกัน จะสามารถสร้างสมาร์ตโฟนที่ปลอดภัยอย่างแท้จริงได้มากน้อยแค่ไหน ตัวอย่างเช่น ถ้ามีแค่ microkernel ที่ผ่านการตรวจสอบ, การส่งข้อความเข้ารหัสทั้งระบบเป็นค่าเริ่มต้น, หน่วยความจำเข้ารหัส, การเข้ารหัสการสื่อสารระหว่างโปรเซส, และสวิตช์ฮาร์ดแวร์สำหรับโมเด็ม อุปกรณ์ต่อพ่วง และแบตเตอรี่ ก็น่าจะมีความหมายมากแล้ว

    • แต่ไม่ว่าในทางเทคนิคจะเป็นไปได้แค่ไหน ก็ไม่มีความหมายเมื่ออยู่ต่อหน้าอำนาจของทุน ทุนจะไม่มีวันยอมให้อุปกรณ์ที่ตัวเองควบคุมไม่ได้มีอยู่จริง อุปกรณ์ที่ปลอดภัยจริงจึงเป็นได้แค่ความฝัน

    • อยากชี้ว่าการสร้าง microkernel ที่ผ่านการตรวจสอบในระดับพร้อมใช้จริงในการผลิตนั้นเป็นงานวิศวกรรมขนาดมหาศาล