MuMu Player (NetEase) tự ý chạy 17 lệnh do thám hệ thống trên macOS mỗi 30 phút

 (gist.github.com/interpiduser5)
1 điểm bởi GN⁺ 2026-02-22 | 1 bình luận | Chia sẻ qua WhatsApp
  • MuMu Player Pro cho macOS tự động thu thập thông tin hệ thống mỗi 30 phút khi đang chạy, bao gồm dữ liệu mạng, tiến trình, ứng dụng và kernel
  • Các hạng mục thu thập gồm danh sách thiết bị mạng cục bộ, toàn bộ tiến trình đang chạy, metadata của ứng dụng đã cài đặt, tệp hosts, tham số kernel
  • Thông tin này được liên kết với số serial của máy Mac và nền tảng phân tích SensorsData để phục vụ nhận diện thiết bị
  • Chính sách quyền riêng tư của MuMu không nêu rõ hành vi thu thập này, và nó không cần thiết để vận hành chức năng của trình giả lập
  • Việc thu thập dữ liệu lặp lại và không công khai làm dấy lên lo ngại về thiếu minh bạch và nguy cơ xâm phạm quyền riêng tư

Hành vi thu thập dữ liệu hệ thống

  • MuMu Player Pro tự động thu thập thông tin hệ thống mỗi 30 phút khi chạy trên macOS
    • Ở mỗi chu kỳ thu thập, một thư mục gắn dấu thời gian được tạo dưới đường dẫn ~/Library/Application Support/com.netease.mumu.nemux-global/logs/
    • Mỗi thư mục lưu kết quả thực thi của 17 lệnh
  • Các lệnh được chạy gồm arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system v.v.
    • Ghi lại thiết bị mạng cục bộ (IP·MAC), kết nối mạng đang hoạt động, mọi tiến trình đang chạy và tham số của chúng, danh sách ứng dụng đã cài đặt và metadata, thông tin kernel và phần cứng
    • Kết quả ps aux có dung lượng khoảng 200KB, chứa thông tin về ứng dụng đang dùng, VPN, công cụ phát triển và phần mềm bảo mật
  • Mỗi phiên thu thập tạo ra khoảng 400KB dữ liệu và trung bình chạy 16 lần mỗi ngày

Nội dung dữ liệu được thu thập

  • Thông tin liên quan đến mạng: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • Thông tin hệ thống và ứng dụng: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • Thông tin cấu hình môi trường: tệp /etc/hosts, các filesystem đã mount, danh sách LaunchAgents/Daemons
  • Cũng bao gồm kết quả lệnh curl để kiểm tra kết nối tới API của MuMu
  • Ở mỗi phiên, một tệp collect-finished được tạo để ghi nhận việc thu thập thành công hay không

Vấn đề của việc thu thập danh sách tiến trình

  • Lệnh ps aux thu thập toàn bộ đối số dòng lệnh của tất cả tiến trình
    • Có thể làm lộ ứng dụng đang chạy, cấu hình VPN, công cụ phát triển, token phiên, đường dẫn thư mục người dùng và thông tin phần mềm bảo mật
    • Việc lặp lại theo chu kỳ 30 phút tạo thành bản ghi hành vi sử dụng theo từng mốc thời gian

Phân tích và nhận diện thiết bị

  • MuMu sử dụng nền tảng phân tích SensorsData của Trung Quốc
    • Trong thư mục report/ có tệp sensorsanalytics-com.sensorsdata.identities.plist
    • Tệp này chứa mục $identity_mac_serial_id, bao gồm số serial phần cứng của máy Mac
  • sensorsanalytics-super_properties.plist ghi lại các thuộc tính marketing như phiên bản ứng dụng, kênh, UUID, nguồn UTM
  • Một hàng đợi tin nhắn có kích thước khoảng 86KB (sensorsanalytics-message-v2.plist) được gửi lên máy chủ

Không khớp với chính sách quyền riêng tư

  • Chính sách quyền riêng tư chính thức của MuMu Player Pro không nêu rõ các mục sau
    • Việc thực thi ps aux, arp -a, /etc/hosts, sysctl -a, mdls v.v.
    • Việc thu thập số serial của máy Mac
    • Tác vụ thu thập lặp lại theo chu kỳ 30 phút
  • Vì vậy, hành vi thực tế không khớp với chính sách đã công bố

Kết luận

  • MuMu Player Pro định kỳ thu thập lượng thông tin hệ thống vượt mức cần thiết cho chức năng trình giả lập
  • Dữ liệu thu thập tạo thành hồ sơ hệ thống toàn diện, gồm cấu hình mạng, danh sách tiến trình, ứng dụng đã cài, cài đặt DNS và tham số kernel
  • Việc kết hợp phân tích SensorsData với số serial phần cứng tạo ra dấu vân tay thiết bị (fingerprint) liên tục và chi tiết
  • Hành vi này được thực hiện không công khai và lặp đi lặp lại, và tối thiểu có thể được xem là một trường hợp thiếu minh bạch nghiêm trọng

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-22
Ý kiến trên Hacker News

  • Nhìn những vụ như thế này thì thật đáng lo khi game Trung Quốc đang lan rộng ở phương Tây
    Tôi cứ nghĩ đến chuyện con mình chơi Genshin Impact hay Black Myth: Wukong rồi có thể gửi dữ liệu mạng nội bộ về Trung Quốc
    Nếu chính phủ phương Tây phản ứng đúng mức thì lẽ ra mấy thứ này đã phải bị cấm từ lâu

    • Epic Games cũng có Tencent nắm một phần cổ phần, và launcher của họ từng bị cho là có phần mềm gián điệp
      Vậy mà câu chuyện “Tim Sweeney là người hùng phá thế độc quyền của Valve và Apple” vẫn rất được truyền thông công nghệ phương Tây ưa chuộng
      Liên kết liên quan: thảo luận trên Hacker News, bài phân tích trên Reddit
    • Dạo này còn nghiêm trọng hơn vì anti-cheat cấp kernel (KLAC)
      Những hệ thống kiểu này là môi trường trong mơ cho bất kỳ ai muốn dò quét bên trong mạng hoặc leo thang đặc quyền
    • Delta Force mới cũng được phát triển ở Trung Quốc, và nghe nói quét toàn bộ ổ cứng để phục vụ anti-cheat
    • Tôi không nghĩ cần phải phản ứng quá mức với câu “game Trung Quốc lấy cắp dữ liệu”
      Tôi tách riêng bằng VLAN và quản lý log tường lửa rất chặt ở router
      Tất nhiên, tất cả những thứ đó đều đang được giao cho một router Trung Quốc xử lý an toàn giúp tôi
    • Vì vậy tôi tách hẳn PC làm việc và PC chơi game ra riêng
      Cô lập bằng VLAN hay Wi‑Fi khách cũng không hoàn hảo, nhưng ít nhất có thể giảm rủi ro khoảng 75%
      Dù vậy vẫn còn một cỗ máy hiệu năng cao nối Internet, và các rủi ro như theo dõi vị trí qua Bluetooth·Wi‑Fi vẫn tồn tại
      Cuối cùng thì chống lại xâm nhập cấp quốc gia là cuộc chiến vượt quá khả năng của cá nhân

  • Tôi luôn chỉ chạy phần mềm của công ty Trung Quốc bên trong sandbox
    Trên di động thì tận dụng giới hạn quyền của Android/iOS, còn trên desktop thì dùng VM
    Các đại công ty công nghệ ở Trung Quốc đại lục hầu như không có chút ý thức về quyền riêng tư nào, và mô hình của họ là kiếm tiền bằng cách bán dữ liệu

    • Gần đây tôi cài app SoundCloud trên iOS, và sốc khi thấy dòng “chia sẻ dữ liệu với 954 đối tác”
    • Nhiều người hỏi làm sao triển khai sandbox trên di động
      Mỗi lần cài ứng dụng như WeChat tôi đều thấy khó chịu
    • Giờ tôi nghĩ mọi ứng dụng đều nên được cô lập
      Các công ty thu thập dữ liệu không phân biệt gì cả, và luôn khẳng định ứng dụng phải có kết nối Internet mới hoạt động được
      Dù vậy, nếu chặn truy cập LAN bằng tường lửa thì vẫn có thể ngăn truy cập tệp
    • Cũng có người đùa rằng không phải chỉ “Trung Quốc đại lục” mà “Mỹ đại lục” cũng vậy
    • Có câu nói rằng chỉ cần xóa từ “Mainland” đi thì câu đó vẫn đúng nguyên, như một lời châm biếm rằng rốt cuộc mọi big tech đều giống nhau

  • Mỗi khi công ty Trung Quốc gây ra vấn đề, trong phần bình luận lúc nào cũng lặp lại phản ứng kiểu “công ty Mỹ cũng thế thôi”
    Một mẫu phản ứng quá dễ đoán

    • Có lẽ cũng nên nghĩ xem vì sao người ta lại phản ứng như vậy
    • Thực ra câu đó cũng đúng

  • Tôi chạy phần mềm giáo dục và client VM từ xa của VMware bên trong VM native của Mac
    Nếu có thêm các trường hợp lạm dụng thu thập dữ liệu từ quốc gia khác thì tôi cũng không ngạc nhiên
    Có lẽ nên báo cho Apple Security để họ đánh giá xem có liên quan đến tấn công RCE hay C&C không
    Hy vọng điều này cũng thúc đẩy Apple siết việc Discord thu thập dữ liệu trên toàn hệ thống
    Nhân tiện, UTM.app là một lựa chọn ổn để cô lập Discord nhờ tận dụng sandbox ở cấp hệ điều hành

  • Những vụ như thế này rốt cuộc chỉ càng củng cố hình ảnh “phần mềm·phần cứng Trung Quốc = thiếu đạo đức
    Có cảm giác rằng để lấy được thông tin người dùng thì họ sẽ không từ thủ đoạn nào

  • Tình hình này thật xấu xí
    Dù vậy, họ đúng là có ghi rõ rằng họ thu thập mọi thứ
    Chỉ cần xem chính sách quyền riêng tư của MuMu Player
    Điều khiến tôi buồn chỉ là thực tế thế giới đã trở thành như thế này

    • Cụm từ “thông tin mạng/kỹ thuật khác” quá bao quát nên trên thực tế có thể bao gồm mọi thứ
    • Nhưng dù sao cũng không thấy ghi rõ là họ sẽ thu cả đầu ra ps aux

  • Người ta nói macOS đặt quyền riêng tư làm trung tâm, nhưng thật đáng ngạc nhiên khi kiểu hành vi này vẫn được phép
    Nếu sandbox ứng dụng chỉ là tùy chọn thì nó chẳng có nhiều ý nghĩa

    • macOS không đặt quyền riêng tư làm trung tâm mà là đặt marketing làm trung tâm
      Ưu tiên hàng đầu là “liệu có thể đem tính năng này đi quảng bá không?”
    • Hầu như chẳng ai gọi macOS là hệ điều hành đặt quyền riêng tư làm trung tâm cả
      iOS thì còn có thể, chứ macOS thì không

  • Mỗi lần cài game di động do NetEase làm tôi đều thấy không yên tâm
    Đặc biệt là với bản mobile của Dead by Daylight
    Persona 5X không phải game của NetEase, nhưng tôi vẫn thấy lấn cấn
    Tôi hy vọng trên Android việc thu thập sẽ bị hạn chế, nhưng vẫn tự hỏi có cách nào để cô lập hoàn toàn hay không

    • Có người khuyên nên cân nhắc các hệ điều hành thiên về bảo mật như GrapheneOS hay Calyx
    • Cũng có ý kiến bảo đừng lo quá mà cứ tận hưởng game thôi

  • Tôi nghĩ những kẻ tạo ra thứ phần mềm gián điệp này nên bị phạt tù ít nhất 10 năm
    Các CEO liên quan cũng phải chịu trách nhiệm

  • Trước đây ai cũng dùng tường lửa cá nhân như “Little Snitch”, nên có thể tận mắt thấy kiểu hành vi này
    Giờ tôi tự hỏi có phải chúng ta đang quá tin tưởng vào các tính năng bảo mật của hệ điều hành hay không