网易 MuMu 模拟器每 30 分钟静默运行 17 条侦察命令
Hacker News 摘要原标题:MuMu Player (NetEase) silently runs 17 reconnaissance commands every 30 minutes
网易出品的 MuMu Player Pro 苹果电脑版(版本号 v1.8.5)被发现在模拟器运行期间,每隔 30 分钟就会在后台静默执行一套完整的系统数据收集程序。这些操作包括枚举本地网络中的所有设备、抓取带有完整命令行参数的运行进程、列出所有已安装的应用程序、读取 hosts 文件以及转储内核参数。所有这些敏感信息都通过 SensorsData 分析工具与用户的苹果电脑序列号绑定。该行为并未在网易的隐私政策中披露,且对于安卓模拟器的正常运行并非必要。
收集的具体数据内容
每隔 30 分钟,该软件会在用户目录的 ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 路径下创建一个带有时间戳的目录。每个目录下都包含以下 17 条命令的执行结果:
• arp -a:获取本地网络中所有设备的 IP 地址和 MAC 地址。
• ifconfig:获取所有网络接口、VPN 隧道及相关地址信息。
• scutil --dns:获取完整的 DNS 解析器配置。
• scutil --proxy:获取代理服务器设置。
• cat /etc/hosts:读取整个 hosts 文件,这会暴露自定义域名和开发环境。
• netstat:获取活跃的网络连接。
• ps aux:抓取每一个正在运行的进程及其完整的命令行参数。
• ls -laeTO -@ /Applications/:列出所有已安装的应用程序及其元数据。
• mdls /Applications/*.app:通过 Spotlight 元数据获取每个应用的名称、版本、捆绑包标识符、大小和日期。
• sysctl -a:获取内核参数、主机名、硬件信息和启动时间。
• launchctl print system:转储完整的系统服务信息。
• launchctl limit:获取系统资源限制设置。
• ls -laeTO -@ /Library/LaunchAgents 和 LaunchDaemons:列出所有系统启动代理和守护进程。
• mount:获取所有已挂载的文件系统。
• curl -v:向网易的 API 接口发送请求以测试连通性。
进程列表抓取的严重性
通过执行 ps aux 命令,软件可以获取系统中每个进程的完整启动参数。这在实际操作中会暴露以下信息:
• 用户正在运行哪些程序以及运行时间,例如浏览器、聊天工具、交易平台或安全工具。
• VPN 的使用情况和具体配置。
• 开发工具和基础设施信息,例如 Docker、集成开发环境以及带有参数的终端会话。
• 作为命令行参数传递的会话令牌(Tokens)和身份标识符(IDs)。
• 揭露用户名和应用配置的用户数据目录路径。
• 用户正在使用的安全软件或防火墙,这可被用于规避检测。
这些数据每 30 分钟抓取一次,能够勾勒出用户电脑使用习惯的详细时间线。
分析与设备指纹识别
MuMu Player Pro 使用神策数据(SensorsData)平台进行追踪。在 report/ 目录下的配置文件显示,该软件收集了苹果电脑的硬件序列号,并将其作为持久化的唯一标识符。
• 身份追踪:在配置文件中明确记录了用户 ID、匿名 ID 和电脑硬件序列号。
• 活动追踪:记录了播放器版本、渠道(MACPRO)、唯一识别码(UUID)和安装来源等信息。
软件维护了一个约 86KB 的分析消息队列,并将其发送至服务器。
收集频率与验证方式
在正常的单日使用中,该软件会执行 16 次数据收集例程。每次收集都会产生约 400KB 的系统数据。日志目录通常会保留最近的 23 次记录。
用户可以通过检查自己的苹果电脑路径 ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 来验证此行为。如果看到带有时间戳的目录,打开其中的文件即可看到被执行的精确命令及其抓取的完整输出内容。
隐私政策与结论
网易的隐私政策并未提及会收集进程列表、本地网络设备信息、读取 hosts 文件、转储内核参数或扫描所有已安装应用,也未说明会每隔 30 分钟执行一次此类操作。
这种行为超出了安卓模拟器的功能范畴。收集的数据构成了全面的系统画像。结合硬件序列号,这为用户的机器和使用模式创建了持久且详细的指纹。这种在不透明的情况下静默运行且非必要的数据收集行为,构成了严重的透明度缺失。
原文:https://gist.github.com/interpiduser5/547d8a7baec436f24b7cce89dd4ae1ea