ハクソク

世界を動かす技術を、日本語で。

MuMu Player(ネットイース)が30分ごとに17の偵察コマンドを静かに実行する

95日前原文(gist.github.com)

概要

MuMu Player Pro (NetEase製)は、macOS上で30分ごとに広範なシステム情報収集を自動実行 ネットワーク機器一覧、全プロセス情報、アプリ一覧、カーネルパラメータ などを収集 Macのシリアル番号 と紐付けてSensorsData(中国製分析基盤)に送信 プライバシーポリシーには 一切記載なし Androidエミュレータとしては 不要かつ過剰な情報収集

MuMu Player ProによるmacOSシステム情報収集の実態

  • MuMu Player Pro (バージョン1.8.5、Bundle ID: com.netease.mumu.nemux-global)は、 30分ごと に自動でシステム情報収集処理を実行
  • 情報収集は ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 配下のタイムスタンプ付きディレクトリに記録
  • 収集される主な情報とコマンド一覧
    • arp -a :ローカルネットワーク上の全デバイス(IP/MACアドレス)一覧
    • ifconfig :全ネットワークインターフェイス情報(MAC/IP/VPN含む)
    • scutil --dns / --proxy :DNS設定、プロキシ設定
    • cat /etc/hosts :ホストファイル全内容(開発環境や独自ドメイン情報も含む)
    • netstat :アクティブなネットワーク接続
    • ps aux :全プロセス+コマンドライン引数(約200KB分)
    • ls -laeTO -@ /Applications/ :インストール済みアプリ一覧+メタデータ
    • mdls /Applications/*.app :Spotlightメタデータ(アプリ名/バージョン/サイズ/日付など)
    • sysctl -a :カーネルパラメータ・ハードウェア情報
    • launchctl print system / limit :システムサービス、リソース制限
    • ls -laeTO -@ /Library/LaunchAgents / LaunchDaemons :全システムエージェント・デーモン
    • mount :マウント済みファイルシステム
    • curl -v https://pro-api.mumuplayer.com / https://api.mumuglobal.com :API接続テスト
  • 各収集処理の成否は collect-finished ファイルで管理

プロセスリスト収集のリスク

  • ps aux で、全プロセスとコマンド引数を記録
    • 実行中アプリ・タイミング(ブラウザ、チャット、金融、セキュリティツール等)
    • VPN利用状況や設定 (例:NordVPN/NordLynxの引数)
    • 開発ツールやインフラ(Docker、IDE、ターミナルセッション等)
    • コマンドライン引数経由のセッショントークン・ID
    • ユーザ名やアプリ設定パス
    • セキュリティ/ファイアウォールソフトの特定(回避目的も推察可能)
  • 30分ごとに記録されるため、 詳細な利用行動タイムライン を構築可能

Analytics・端末指紋情報の送信

  • SensorsData (中国製アナリティクス)を利用し、以下を送信
    • Macのシリアル番号 (sensorsanalytics-com.sensorsdata.identities.plist内)
    • MuMu Player Proのバージョン、UUID、UTMソース、エンジン情報
    • 86KB規模のアナリティクスメッセージキュー をreport/ディレクトリから送信
  • シリアル番号と各種プロパティにより、 端末ごとの永続的な識別・追跡 が可能

収集頻度とデータ量

  • 通常利用で 1日16回 (約30分毎)収集処理が実行
  • 各回で 約400KB分のシステムデータ を生成
  • logsディレクトリ には約23回分の履歴が保存され、ローテーション

確認方法

  • MuMu Player Proインストール済みmacOSで以下を実行
    • ls ~/Library/Application\ Support/com.netease.mumu.nemux-global/logs/
    • タイムスタンプ付きディレクトリ内ファイルを確認
    • 各ファイルに 実行コマンド・引数・出力内容 がそのまま記録

プライバシーポリシーの問題点

  • MuMu Player Proの プライバシーポリシー には、以下の記載 一切なし
    • ps aux による全プロセス収集
    • arp -a でのローカルネットワーク機器一覧取得
    • /etc/hosts の読み取り
    • sysctl -a でのカーネル情報収集
    • mdls でのアプリ一覧収集
    • Macシリアル番号 の収集
    • これらを 30分ごと定期的に実行 する旨

結論

  • 収集される情報(ネットワーク構成、全プロセス、アプリ一覧、DNS・ホストファイル、カーネルパラメータ等)は 極めて詳細かつ広範
  • SensorsDataMacシリアル番号 による端末指紋付与で、 持続的な個人追跡 が可能
  • これらが 30分ごとにサイレント実行 され、プライバシーポリシー未記載、かつAndroidエミュレータ本来の機能に 不要
  • 透明性の重大な欠如、プライバシーリスクの高さが指摘可能

Hackerたちの意見

中国の企業のソフトウェアは、Android/iOSのスマホかデスクトップアプリ用のVM内でしか使わないようにしてる。必要な権限だけを有効にしてね。残念ながら、中国本土のテック企業はユーザーのプライバシーなんて全く考えてないし、データを集めて利益を最大化しようとしてる。ソフトウェアを売って利益を得るんじゃなくて、データを売って利益を得てるんだよね。

中国本土のこと?それともアメリカ本土?

モバイルでどうやってサンドボックスするの?WeChatみたいなアプリがスマホに入ってるのはあんまり好きじゃないな…

残念ながら、中国本土のテック企業はユーザーのプライバシーなんて全く考えてないし、データを集めて利益を最大化しようとしてる。ソフトウェアを売って利益を得るんじゃなくて、データを売って利益を得てるんだよね。/s/本土// 修正したよ。

今は本当に全部を箱に入れないといけないよね。企業は無差別だし、分析データは自分たちのドメインにログされるし、今は何でもインターネットにアクセスしないと動かないからね。でも、少なくとも自分のファイルにはアクセスさせないようにできるし、ファイアウォールでLANを見られないようにすることはできるよ。

最近、このiOSデバイスに初めてSoundcloudアプリをダウンロードしたら、「続けることで、私たちが954のパートナーとデータを共有することに同意します」とか言われたんだよね…。

こういうことがあるから、中国製のビデオゲームが西洋に広がるのが心配なんだよね。子供の「原神」や「黒い神話:悟空」が自分の声を聞いて、ローカルネットワークのデータを中国に送ってるかもしれないし。まともな西洋の政府なら、何年も前に全部禁止してたはずなのに。西洋文明の未来を守る代わりに、緩和政策や安いプラスチック製品を求めてるだけだよね。はぁ。

自分の声を聞いて、ローカルネットワークのデータを中国に送ってるかもしれない。西洋のアプリが自分の声を聞いて、ローカルネットワークのデータを三文字の機関に送ってるのと何が違うの?

新しい「デルタフォース」は今や中国製で、どうやらHDD全体をスキャンするらしいよ(アンチチート用に)。

今は、チートによってカーネルレベルのアンチチート(KLAC)が生まれて、何をしてるか分からない状況がさらに悪化してる!ネットワークを横断したり、調査したりしたい人にとっては夢のような環境だね。

これで、中国のソフトウェアやハードウェアには倫理がないってイメージがますます強まったね。ユーザーの情報を手に入れるためなら、何でもやるって感じ。

これはひどいし、悪いことだね。一方で、彼らはすべてを集めてるって言ってるし。https://www.mumuplayer.com/privacy-policy.html 彼らを擁護するつもりはないけど、なんか世界が悲しいよ。

「その他のネットワーク/技術情報」って、かなり重要な役割を果たしてるね。

そのウェブページのどこにps auxの出力を集めてるって書いてあるの?

こんな行動が現代のmacOSで許されてるのが未だに驚きだよ。プライバシー重視のはずなのに。アプリのサンドボックスがオプトインって、意味あるの?

MacOSはプライバシー重視じゃなくて、マーケティング重視だよ。具体的には:この[機能/変更/拒否/etc...]をマーケティングできるかどうかってこと。

macOSを「プライバシー重視」って言う人、初めて聞いたわ。Apple自身の宣伝かも?iOSはそうかもしれないけど、macOSは違うよね。

だから、教育用ソフトウェア(とVMwareのedusoftリモートVMクライアント)をネイティブのMac VMで動かしてるんだ。別の国からデータ収集を悪用しようとする人がいるのも驚かないよ。Appleのセキュリティに報告した方がいいかもね。RCE/CNCのシナリオかどうか評価してもらうために(今のところはテレメトリしか検出されてないし!)それが世界的にマルウェアとして殺す価値があるかどうかも。あんなに多くのプロパティにアクセスできるのが、許可ダイアログなしでできるのも驚きだよ。これをきっかけにAppleがDiscordのシステム全体のデータ収集を拒否できるようにしてくれるといいな!追記:UTM.appはDiscordをサンドボックスするのにいい方法だね。OSレベルのサンドボックスを使ってるから、さらに制限するのが難しいけど、ちょっとスペース取るかな。

中国の企業がこんなことをするたびに、コメント欄はいつも「でもアメリカの企業は…」とか、ちょっと柔らかいバージョンの「でもすべてのテック企業は…」ってなるのが予測可能すぎる。

それ、マジでそうだよね(笑)

こういうスパイソフトを作る人は、強制的に10年以上の刑務所行きにすべきだと思う。ここに関わってるCEOも同様にね。

GitHubのgistの作者がどうやってこれを見つけたのか、気になるな。何かアイデアある?

fseventsを使えば、どのアプリがどこに書き込んでるか分かるし、ファイアウォールを使えば、どのアプリがインターネットに接続してるかも分かるよ。

だから、ネットイースが作った好きなゲームのモバイル版をスマホに入れると、いつも気分が悪くなるんだよね。特に気分が悪かったのは、Dead by Daylightのモバイル版。Persona 5Xはネットイース製じゃないけど、やっぱり彼らに対していい気持ちは持てないな。スマホOS(私の場合はAndroid)で収集できる情報にもっと制限があると思ってたけど、怪しいアプリを完全に隔離する方法があるのか、まだ疑問だよ。