MuMu Player (NetEase) executa sem autorização 17 comandos de reconhecimento do sistema a cada 30 minutos no macOS

 (gist.github.com/interpiduser5)
1 pontos por GN⁺ 2026-02-22 | 1 comentários | Compartilhar no WhatsApp
  • O MuMu Player Pro para macOS coleta automaticamente informações do sistema a cada 30 minutos enquanto está em execução, incluindo dados de rede, processos, aplicativos e kernel
  • Os itens coletados incluem lista de dispositivos da rede local, todos os processos em execução, metadados dos apps instalados, arquivo hosts e parâmetros do kernel
  • Essas informações são associadas ao número de série do Mac e à plataforma de análise SensorsData, sendo usadas para identificar o dispositivo
  • A política de privacidade do MuMu não declara esse comportamento de coleta, e ele não é necessário para o funcionamento do emulador
  • A coleta repetitiva e não divulgada de dados levanta preocupações sobre falta de transparência e risco potencial à privacidade

Comportamento de coleta de dados do sistema

  • O MuMu Player Pro, quando em execução no macOS, coleta automaticamente informações do sistema a cada 30 minutos
    • A cada ciclo de coleta, é criada uma pasta com timestamp em ~/Library/Application Support/com.netease.mumu.nemux-global/logs/
    • Cada pasta armazena os resultados da execução de 17 comandos
  • Entre os comandos executados estão arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system
    • São registrados dispositivos da rede local (IP·MAC), conexões de rede ativas, todos os processos em execução e seus argumentos, lista de apps instalados e seus metadados, informações de kernel e hardware
    • A saída de ps aux chega a cerca de 200KB e inclui informações sobre apps em uso, VPN, ferramentas de desenvolvimento e software de segurança
  • Cada sessão de coleta gera cerca de 400KB de dados e é executada, em média, 16 vezes por dia

Conteúdo dos dados coletados

  • Informações relacionadas à rede: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • Informações do sistema e dos apps: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • Informações de configuração do ambiente: arquivo /etc/hosts, sistemas de arquivos montados, lista de LaunchAgents/Daemons
  • Também estão incluídos os resultados de comandos curl para testar a conexão com a API do MuMu
  • Em cada sessão é criado um arquivo collect-finished para registrar se a coleta foi concluída com sucesso

Problemas na coleta da lista de processos

  • O comando ps aux coleta os argumentos completos da linha de comando de todos os processos
    • Isso expõe aplicativos em execução, configurações de VPN, ferramentas de desenvolvimento, tokens de sessão, caminhos de diretórios do usuário e informações de software de segurança
    • Como isso se repete em intervalos de 30 minutos, forma-se um registro temporal do comportamento de uso

Análise e identificação do dispositivo

  • O MuMu usa a plataforma chinesa de análise SensorsData
    • No diretório report/ existe o arquivo sensorsanalytics-com.sensorsdata.identities.plist
    • Esse arquivo inclui o item $identity_mac_serial_id, que contém o número de série de hardware do Mac
  • O arquivo sensorsanalytics-super_properties.plist registra propriedades de marketing como versão do app, canal, UUID e origem UTM
  • Uma fila de mensagens de cerca de 86KB (sensorsanalytics-message-v2.plist) é enviada ao servidor

Divergência com a política de privacidade

  • A política de privacidade oficial do MuMu Player Pro não declara explicitamente os seguintes itens
    • Execução de ps aux, arp -a, /etc/hosts, sysctl -a, mdls etc.
    • Coleta do número de série do Mac
    • Trabalho recorrente de coleta em intervalos de 30 minutos
  • Portanto, o comportamento real diverge da política publicada

Conclusão

  • O MuMu Player Pro coleta periodicamente informações do sistema em um nível desnecessário para o funcionamento do emulador
  • Os dados coletados formam um perfil abrangente do sistema, incluindo configuração de rede, lista de processos, apps instalados, ajustes de DNS e parâmetros do kernel
  • A combinação da análise via SensorsData com o número de série do hardware cria uma impressão digital persistente e detalhada do dispositivo (fingerprint)
  • Como esse comportamento é realizado de forma não divulgada e repetitiva, ele é avaliado no mínimo como um caso grave de falta de transparência

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-22
Comentários do Hacker News

  • Quando vejo casos assim, fico preocupado com a disseminação de videogames chineses no Ocidente
    Dá a sensação de que meu filho pode estar jogando Genshin Impact ou Black Myth: Wukong enquanto dados da rede local são enviados para a China
    Se os governos ocidentais reagissem direito, isso já deveria ter sido proibido

    • A Epic Games também tem participação parcial da Tencent, e o launcher já teve spyware embutido
      Mesmo assim, a narrativa de que “Tim Sweeney é o herói que vai quebrar os monopólios da Valve e da Apple” continua popular na mídia tech ocidental
      Links relacionados: discussão no Hacker News, análise no Reddit
    • Hoje em dia ficou ainda pior por causa do anticheat em nível de kernel (KLAC)
      Esse tipo de sistema é um ambiente dos sonhos para quem quer vasculhar a rede interna ou escalar privilégios
    • O novo Delta Force também foi desenvolvido na China e dizem que faz varredura completa do disco rígido para fins de anticheat
    • Acho que não precisa reagir de forma exagerada à ideia de que “jogos chineses roubam dados”
      Eu separo tudo por VLAN e gerencio com rigor os logs de firewall no roteador
      Claro, confiando que meu roteador chinês cuide de tudo isso com segurança
    • Por isso eu uso PCs totalmente separados para trabalho e para jogos
      Isolar com VLAN ou Wi‑Fi de convidado não é perfeito, mas pelo menos reduz o risco em uns 75%
      Ainda assim, continua existindo uma máquina potente conectada à internet, e permanecem riscos como rastreamento de localização via Bluetooth e Wi‑Fi
      No fim, impedir uma invasão de nível estatal é uma luta que um indivíduo não consegue bancar

  • Eu sempre executo software de empresas chinesas apenas dentro de um sandbox
    No celular, aproveito as restrições de permissões do Android/iOS, e no desktop uso VM
    As grandes empresas de tecnologia da China continental praticamente não têm noção de privacidade do usuário, e o modelo delas é lucrar vendendo dados

    • Recentemente instalei o app do SoundCloud no iOS e levei um susto ao ver a mensagem “compartilha dados com 954 parceiros”
    • Muita gente pergunta como implementar sandbox no mobile
      Sempre fico com uma sensação ruim toda vez que instalo um app como o WeChat
    • Hoje em dia acho que todos os apps deveriam ser isolados
      As empresas coletam dados sem distinção e insistem que o app precisa estar sempre conectado à internet para funcionar
      Mesmo assim, se você bloquear o acesso à LAN com um firewall, dá para impedir o acesso a arquivos
    • Aí aparece a piada de que não é só a “China continental”, os “Estados Unidos continentais” também são assim
    • E a sátira é que, se você apagar a palavra “continental”, a frase continua valendo do mesmo jeito, ou seja, no fim todas as big techs são parecidas

  • Sempre que uma empresa chinesa causa problema, os comentários se enchem de respostas do tipo “as empresas americanas fazem o mesmo”
    É um padrão previsível demais

    • Vale pensar por que esse tipo de resposta aparece
    • Na prática, isso também é verdade

  • Eu executo software educacional e o cliente remoto de VM da VMware dentro de uma VM nativa do Mac
    Mesmo que apareçam casos de coleta de dados abusiva em outros países, isso já não me surpreende mais
    Seria bom reportar à Apple Security para avaliarem se há RCE ou ataque de C&C envolvido
    Tomara que isso incentive a Apple a limitar a coleta de dados do sistema inteiro feita pelo Discord
    Aliás, o UTM.app é uma boa escolha para isolar o Discord usando o sandbox no nível do sistema operacional

  • No fim, esse tipo de caso só reforça a imagem de que “software e hardware chineses = ausência de ética
    Parece que fariam qualquer coisa para obter informações dos usuários

  • A situação parece feia
    Ainda assim, eles de fato deixam explícito que coletam tudo
    Dá para ver isso na política de privacidade do MuMu Player
    Só é triste ver a realidade que tornou isso normal

    • A expressão “outras informações de rede/técnicas” é ampla demais e, na prática, pode incluir qualquer coisa
    • Ainda assim, não está explícito que eles coletam até a saída de ps aux

  • Dizem que o macOS é focado em privacidade, mas surpreende que esse tipo de comportamento ainda seja permitido
    Se o sandbox de apps é opcional, então ele não tem muito sentido

    • O macOS não é focado em privacidade, e sim em marketing
      A prioridade é “dá para promover esse recurso?”
    • Quase ninguém chamaria o macOS de um sistema operacional focado em privacidade
      Talvez o iOS, mas o macOS não

  • Sempre fico desconfortável quando instalo um jogo mobile feito pela NetEase
    Senti isso especialmente com a versão mobile de Dead by Daylight
    Persona 5X não é da NetEase, mas ainda assim dá uma sensação ruim
    Espero que, por ser Android, a coleta seja mais limitada, mas fico me perguntando se existe algum jeito de fazer isolamento completo

    • Recomendaram considerar sistemas focados em segurança, como GrapheneOS ou Calyx
    • Também teve quem dissesse para não se preocupar tanto e simplesmente curtir o jogo

  • Acho que quem criou esse spyware deveria pegar no mínimo 10 anos de prisão
    Os CEOs envolvidos também deveriam ser responsabilizados

  • Antigamente todo mundo usava firewalls pessoais como o “Little Snitch” e conseguia ver esse tipo de comportamento com os próprios olhos
    Hoje em dia fico me perguntando se não estamos confiando demais nos recursos de segurança do sistema operacional