网易 MuMu Player Pro 的 macOS 版本被发现存在严重的隐私问题。该应用在运行时会每 30 分钟在后台悄悄执行 17 条系统侦测命令,收集包括局域网设备、所有运行进程、已安装应用在内的大量敏感信息。这些数据通过第三方分析平台与用户的 Mac 硬件序列号绑定,而整个收集行为并未在其隐私政策中披露,也与安卓模拟器的核心功能无关。
收集了哪些信息?
在运行时,MuMu 模拟器会每 30 分钟在后台自动执行以下系统命令,并将结果保存在日志目录中:
**arp -a**: 捕获你局域网上的所有设备(IP 和 MAC 地址)。**ifconfig**: 获取所有网络接口、MAC 地址和 IP 地址信息。**scutil --dns**: 完整的 DNS 解析器配置。**scutil --proxy**: 代理设置。**cat /etc/hosts**: 读取你完整的 hosts 文件,可能暴露自定义域名和开发环境。**netstat**: 当前活跃的网络连接。**ps aux**: 列出系统上所有正在运行的进程及其完整参数,这是侵入性最强的命令之一。**ls -laeTO -@ /Applications/**: 列出所有已安装的应用程序及其元数据。**mdls /Applications/*.app**: 获取每个应用的 Spotlight 元数据(名称、版本、ID 等)。**sysctl -a**: 获取内核参数、硬件信息和主机名。**launchctl print system**: 完整的系统服务转储。**launchctl limit**: 系统资源限制。**ls -laeTO -@ /Library/LaunchAgents**: 所有系统启动代理。**ls -laeTO -@ /Library/LaunchDaemons**: 所有系统启动守护进程。**mount**: 所有已挂载的文件系统。**curl**: 测试与 MuMu API 服务器的连接性。
“ps aux” 命令带来的严重问题
捕获所有正在运行的进程及其完整命令行参数,实际上意味着 MuMu 能够每 30 分钟就对你的电脑使用行为进行一次快照。这会暴露:
- 你正在运行的应用和使用时间(浏览器、聊天工具、交易平台)。
- VPN 的使用和具体配置。
- 开发工具、IDE 和终端会话中的参数。
- 作为命令行参数传递的会话令牌或 ID。
- 暴露你用户名的应用数据目录路径。
- 你正在使用的安全或防火墙软件。
数据分析与设备指纹
MuMu 使用一个名为“神策数据”(SensorsData)的中国分析平台进行追踪。其日志文件显示,它会明确收集并关联以下身份信息:
- 用户 ID
- 匿名 ID
- 你的 Mac 硬件序列号
通过将收集到的所有系统信息与你的 Mac 硬件序列号绑定,网易能够创建一个关于你设备和使用行为的持久性数字指纹。
隐私政策说了什么?
MuMu Player Pro 的隐私政策完全没有披露以下任何行为:
- 运行
ps aux捕获所有系统进程。 - 运行
arp -a枚举本地网络设备。 - 读取
/etc/hosts文件。 - 收集内核参数。
- 清点所有已安装的应用程序。
- 收集你的 Mac 硬件序列号。
- 以每 30 分钟一次的频率执行上述任何操作。
这种行为远超一个安卓模拟器正常运行所需。收集的数据构成了一个全面的系统画像,并与你的硬件序列号绑定,形成了对你机器和使用习惯的持久、详细的指纹。这种未经披露的静默数据收集,至少是一次严重的透明度缺失。