MuMu Player (NetEase) รันคำสั่งสำรวจระบบ 17 รายการบน macOS โดยไม่ได้รับอนุญาตทุก ๆ 30 นาที

 (gist.github.com/interpiduser5)
1 คะแนน โดย GN⁺ 2026-02-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • MuMu Player Pro สำหรับ macOS จะเก็บรวบรวมข้อมูลระบบอัตโนมัติทุก ๆ 30 นาทีขณะกำลังทำงาน รวมถึงข้อมูลเครือข่าย, โปรเซส, แอปพลิเคชัน และเคอร์เนล
  • รายการข้อมูลที่เก็บรวมถึงรายชื่ออุปกรณ์ในเครือข่ายภายใน, โปรเซสที่กำลังรันทั้งหมด, เมทาดาทาของแอปที่ติดตั้ง, ไฟล์ hosts, พารามิเตอร์เคอร์เนล เป็นต้น
  • ข้อมูลเหล่านี้ถูกเชื่อมโยงผ่านหมายเลขซีเรียลของ Mac และแพลตฟอร์มวิเคราะห์ SensorsDataเพื่อใช้ระบุตัวอุปกรณ์
  • ในนโยบายความเป็นส่วนตัวของ MuMu ไม่ได้ระบุพฤติกรรมการเก็บข้อมูลนี้ไว้และไม่ได้จำเป็นต่อการทำงานของอีมูเลเตอร์
  • การเก็บข้อมูลซ้ำ ๆ โดยไม่เปิดเผยเช่นนี้ทำให้เกิดข้อกังวลเรื่องการขาดความโปร่งใสและความเสี่ยงต่อการละเมิดความเป็นส่วนตัว

พฤติกรรมการเก็บข้อมูลระบบ

  • MuMu Player Pro จะเก็บรวบรวมข้อมูลระบบอัตโนมัติทุก ๆ 30 นาทีขณะทำงานบน macOS
    • ในแต่ละรอบการเก็บ จะมีการสร้างโฟลเดอร์ประทับเวลาใต้พาธ ~/Library/Application Support/com.netease.mumu.nemux-global/logs/
    • ในแต่ละโฟลเดอร์จะบันทึกผลลัพธ์จากการรันคำสั่ง 17 รายการ
  • คำสั่งที่รันมี arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system เป็นต้น
    • มีการบันทึกอุปกรณ์ในเครือข่ายภายใน (IP·MAC), การเชื่อมต่อเครือข่ายที่ใช้งานอยู่, โปรเซสทั้งหมดที่กำลังรันพร้อมอาร์กิวเมนต์, รายชื่อแอปที่ติดตั้งและเมทาดาทา, ข้อมูลเคอร์เนลและฮาร์ดแวร์ เป็นต้น
    • ผลลัพธ์ของ ps aux มีขนาดประมาณ 200KB และรวมข้อมูลเกี่ยวกับแอปที่ใช้งาน, VPN, เครื่องมือพัฒนา และซอฟต์แวร์ความปลอดภัย
  • แต่ละเซสชันการเก็บจะสร้างข้อมูลประมาณ 400KB และโดยเฉลี่ยรันวันละ 16 ครั้ง

เนื้อหาของข้อมูลที่เก็บ

  • ข้อมูลด้านเครือข่าย: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • ข้อมูลระบบและแอป: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • ข้อมูลการตั้งค่าสภาพแวดล้อม: ไฟล์ /etc/hosts, ไฟล์ซิสเต็มที่ถูกเมานต์, รายการ LaunchAgents/Daemons
  • รวมถึงผลลัพธ์ของคำสั่ง curl สำหรับทดสอบการเชื่อมต่อกับ API ของ MuMu
  • ในแต่ละเซสชันจะมีการสร้างไฟล์ collect-finished เพื่อบันทึกว่าการเก็บสำเร็จหรือไม่

ปัญหาของการเก็บรายชื่อโปรเซส

  • คำสั่ง ps aux ถูกใช้เพื่อเก็บอาร์กิวเมนต์บรรทัดคำสั่งทั้งหมดของทุกโปรเซส
    • ทำให้ข้อมูลเกี่ยวกับแอปที่กำลังรัน, การตั้งค่า VPN, เครื่องมือพัฒนา, โทเคนของเซสชัน, พาธไดเรกทอรีของผู้ใช้ และซอฟต์แวร์ความปลอดภัยถูกเปิดเผย
    • เมื่อทำซ้ำทุก 30 นาที จึงเกิดเป็นบันทึกพฤติกรรมการใช้งานตามช่วงเวลา

การวิเคราะห์และการระบุตัวอุปกรณ์

  • MuMu ใช้SensorsData ซึ่งเป็นแพลตฟอร์มวิเคราะห์จากจีน
    • ในไดเรกทอรี report/ มีไฟล์ sensorsanalytics-com.sensorsdata.identities.plist
    • ภายในไฟล์นี้มีรายการ $identity_mac_serial_id ซึ่งรวมหมายเลขซีเรียลฮาร์ดแวร์ของ Macไว้
  • ใน sensorsanalytics-super_properties.plist มีการบันทึกคุณสมบัติด้านการตลาด เช่น เวอร์ชันแอป, ช่องทาง, UUID และแหล่งที่มา UTM
  • มีคิวข้อความขนาดประมาณ 86KB (sensorsanalytics-message-v2.plist) ที่ถูกส่งไปยังเซิร์ฟเวอร์

ความไม่สอดคล้องกับนโยบายความเป็นส่วนตัว

  • ในนโยบายความเป็นส่วนตัวอย่างเป็นทางการของ MuMu Player Pro ไม่ได้ระบุรายการต่อไปนี้ไว้
    • การรัน ps aux, arp -a, /etc/hosts, sysctl -a, mdls เป็นต้น
    • การเก็บหมายเลขซีเรียลของ Mac
    • งานเก็บข้อมูลแบบวนซ้ำทุก 30 นาที
  • ดังนั้นพฤติกรรมจริงจึงไม่สอดคล้องกับนโยบายที่เปิดเผยต่อสาธารณะ

บทสรุป

  • MuMu Player Pro เก็บข้อมูลระบบในระดับที่ไม่จำเป็นต่อการทำงานของอีมูเลเตอร์เป็นระยะ
  • ข้อมูลที่เก็บ เช่น การตั้งค่าเครือข่าย, รายชื่อโปรเซส, แอปที่ติดตั้ง, การตั้งค่า DNS และพารามิเตอร์เคอร์เนล รวมกันเป็นโปรไฟล์ระบบแบบครอบคลุม
  • การผสานการวิเคราะห์ของ SensorsData เข้ากับหมายเลขซีเรียลฮาร์ดแวร์ทำให้เกิดลายนิ้วมืออุปกรณ์ (fingerprint) ที่ต่อเนื่องและละเอียด
  • พฤติกรรมนี้เกิดขึ้นแบบไม่เปิดเผยและทำซ้ำเป็นประจำ จึงถูกประเมินว่าอย่างน้อยเป็นกรณีร้ายแรงของการขาดความโปร่งใส

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-22
ความคิดเห็นจาก Hacker News

  • พอเห็นเหตุการณ์แบบนี้ก็ยิ่งกังวลที่วิดีโอเกมจากจีนกำลัง แพร่หลาย ในโลกตะวันตก
    ทำให้นึกว่าเด็กที่เล่น Genshin Impact หรือ Black Myth: Wukong อาจกำลังส่งข้อมูลจากเครือข่ายภายในบ้านไปยังจีน
    ถ้ารัฐบาลตะวันตกตอบสนองกันจริงจังกว่านี้ ของแบบนี้ก็ควรถูก แบน ไปนานแล้ว

    • Epic Games เองก็มี Tencent ถือหุ้นอยู่บางส่วน และตัว launcher ก็เคยมี สปายแวร์ รวมอยู่ด้วย
      ทั้งที่อย่างนั้น เรื่องเล่าว่า “Tim Sweeney คือฮีโร่ที่มาทำลายการผูกขาดของ Valve กับ Apple” ก็ยังเป็นที่นิยมในสื่อเทคฝั่งตะวันตกอยู่ดี
      ลิงก์ที่เกี่ยวข้อง: วงสนทนาใน Hacker News, บทวิเคราะห์ใน Reddit
    • ช่วงนี้ยิ่งหนักขึ้นเพราะมี แอนตี้ชีตระดับเคอร์เนล (KLAC)
      ระบบแบบนี้เป็นเหมือนสภาพแวดล้อมในฝันสำหรับคนที่อยากสำรวจเครือข่ายภายในหรือยกระดับสิทธิ์
    • Delta Force ตัวใหม่ก็พัฒนาในจีนเหมือนกัน และได้ยินว่ามีการ สแกนฮาร์ดดิสก์ทั้งลูก เพื่อจุดประสงค์ด้านแอนตี้ชีต
    • คิดว่าไม่จำเป็นต้องไวเกินเหตุเวลาได้ยินคำว่า “เกมจีนขโมยข้อมูล”
      ผมแยกด้วย VLAN และจัดการ ไฟร์วอลล์ล็อก บนเราเตอร์อย่างเข้มงวด
      แน่นอนว่าทั้งหมดนี้ก็อยู่บนความเชื่อว่าเราเตอร์จากจีนจะจัดการได้อย่างปลอดภัย
    • เพราะงั้นผมเลยแยกพีซีทำงานกับพีซีเล่นเกมออกจากกันแบบเด็ดขาด
      ต่อให้แยกด้วย VLAN หรือ guest Wi-Fi ก็ไม่สมบูรณ์แบบ แต่ก็ลดความเสี่ยงได้สัก 75% เป็นอย่างน้อย
      ถึงอย่างนั้นก็ยังมีเครื่องแรงสูงที่ต่ออินเทอร์เน็ตอยู่ และยังมีความเสี่ยงอย่าง การติดตามตำแหน่งผ่าน Bluetooth·Wi‑Fi
      สุดท้ายแล้ว การป้องกันการเจาะระบบระดับรัฐชาติก็เป็นศึกที่คนธรรมดาแบกรับไม่ไหวอยู่ดี

  • ผมรันซอฟต์แวร์จากบริษัทจีนใน แซนด์บ็อกซ์ เท่านั้นเสมอ
    บนมือถือก็อาศัยข้อจำกัดสิทธิ์ของ Android/iOS ส่วนบนเดสก์ท็อปก็ใช้ VM
    บริษัทยักษ์ใหญ่สายเทคจากจีนแผ่นดินใหญ่แทบไม่มี สำนึกเรื่องความเป็นส่วนตัว ของผู้ใช้เลย และโครงสร้างรายได้ก็อาศัยการขายข้อมูล

    • ไม่นานมานี้ผมติดตั้งแอป SoundCloud บน iOS แล้วตกใจที่เห็นข้อความว่า “แชร์ข้อมูลกับพาร์ตเนอร์ 954 ราย”
    • มีคนถามกันเยอะว่าจะทำแซนด์บ็อกซ์บนมือถืออย่างไร
      ทุกครั้งที่ต้องติดตั้งแอปอย่าง WeChat จะรู้สึกไม่สบายใจเสมอ
    • ทุกวันนี้ผมคิดว่าควรแยกแอปทั้งหมดออกจากกัน
      บริษัทต่าง ๆ เก็บข้อมูลแบบไม่แบ่งแยก และอ้างเสมอว่าแอปจะทำงานไม่ได้ถ้าไม่มีการเชื่อมต่ออินเทอร์เน็ตตลอดเวลา
      ถึงอย่างนั้น ถ้าใช้ ไฟร์วอลล์ ปิดการเข้าถึง LAN ก็ยังบล็อกการเข้าถึงไฟล์ได้
    • มีมุกว่าจริง ๆ แล้วไม่ใช่ “จีนแผ่นดินใหญ่” แต่เป็น “สหรัฐแผ่นดินใหญ่” ด้วยซ้ำ
    • มีการเสียดสีว่าต่อให้ลบคำว่า “Mainland” ออกจากประโยค ก็ยังจริงเหมือนเดิม เพราะสุดท้ายแล้ว บิ๊กเทคทั้งหมด ก็คล้ายกัน

  • ทุกครั้งที่บริษัทจีนก่อปัญหา ในคอมเมนต์ก็มักจะมีคนตอบว่า “บริษัทอเมริกันก็เหมือนกัน” ซ้ำ ๆ
    เป็น รูปแบบที่คาดเดาได้ มากเกินไป

    • ก็ควรลองคิดดูว่าทำไมถึงมีปฏิกิริยาแบบนั้น
    • เอาเข้าจริง คำพูดนั้นก็เป็น ความจริง เหมือนกัน

  • ผมรันซอฟต์แวร์เพื่อการศึกษาและไคลเอนต์ remote VM ของ VMware อยู่ใน เนทีฟ VM ของ Mac
    ต่อให้มีกรณีจากประเทศอื่นที่นำการเก็บข้อมูลไปใช้ในทางที่ผิด ก็ไม่ใช่เรื่องน่าแปลกใจ
    น่าจะรายงานให้ Apple Security ประเมินดูว่าเข้าข่ายการโจมตีแบบ RCE หรือ C&C หรือไม่
    หวังว่านี่จะเป็นแรงผลักดันให้ Apple จำกัด การเก็บข้อมูลทั้งระบบ ของ Discord ด้วย
    อนึ่ง UTM.app เป็นตัวเลือกที่ใช้ได้ดีสำหรับการแยก Discord เพราะอาศัยแซนด์บ็อกซ์ระดับระบบปฏิบัติการ

  • เหตุการณ์แบบนี้สุดท้ายก็ยิ่งตอกย้ำภาพจำว่า “ซอฟต์แวร์·ฮาร์ดแวร์จากจีน = ไร้จริยธรรม
    ดูเหมือนว่าถ้าจะเอาข้อมูลผู้ใช้ได้ พวกเขาก็พร้อมใช้ทุกวิธี

  • รู้สึกว่าสถานการณ์มันน่าเกลียดมาก
    ถึงอย่างนั้นพวกเขาก็ ระบุ ไว้ว่าจะเก็บทุกอย่างจริง ๆ
    ดูได้จาก นโยบายความเป็นส่วนตัวของ MuMu Player
    ที่น่าเศร้าก็แค่ความจริงที่ว่าโลกกลายเป็นแบบนี้ไปแล้ว

    • คำว่า “ข้อมูลเครือข่าย/เทคนิคอื่น ๆ” กว้างมากจนในทางปฏิบัติอาจครอบคลุมได้แทบทุกอย่าง
    • แต่ถึงอย่างนั้นก็ไม่ได้ระบุไว้ว่าจะเก็บถึงขั้นเอาผลลัพธ์ของ ps aux ด้วย

  • แม้ macOS จะถูกพูดถึงว่าเน้น ความเป็นส่วนตัว แต่ก็น่าแปลกที่พฤติกรรมแบบนี้ยังทำได้อยู่
    ถ้า app sandbox เป็นแค่ตัวเลือก มันก็ไม่มีความหมาย

    • macOS ไม่ได้เน้นความเป็นส่วนตัว แต่เน้น การตลาด มากกว่า
      คำถามสำคัญคือ “เอาฟีเจอร์นี้ไปโปรโมตได้ไหม?”
    • แทบไม่มีใครเรียก macOS ว่าเป็นระบบปฏิบัติการที่เน้นความเป็นส่วนตัว
      ถ้าเป็น iOS อาจยังพอว่า แต่ macOS ไม่ใช่

  • ทุกครั้งที่ติดตั้งเกมมือถือของ NetEase จะรู้สึกไม่สบายใจ
    โดยเฉพาะตอนเล่น Dead by Daylight เวอร์ชันมือถือ
    Persona 5X จะไม่ใช่งานของ NetEase แต่ก็ยังรู้สึกติดค้างใจอยู่ดี
    หวังว่า Android จะจำกัดการเก็บข้อมูลได้บ้าง แต่อยากรู้ว่ามีวิธี แยกแบบสมบูรณ์ หรือไม่

    • มีคนแนะนำให้ลองดู ระบบปฏิบัติการที่เน้นความปลอดภัย อย่าง GrapheneOS หรือ Calyx
    • ก็มีความเห็นว่าอย่ากังวลมากเกินไป แล้วแค่สนุกกับเกมก็พอ

  • ผมคิดว่าคนที่สร้าง สปายแวร์ แบบนี้ควรโดนโทษจำคุกอย่างน้อย 10 ปี
    รวมถึง CEO ที่เกี่ยวข้องก็ควรต้องรับผิดชอบด้วย

  • เมื่อก่อนทุกคนใช้ ไฟร์วอลล์ ส่วนบุคคลอย่าง “Little Snitch” กัน เลยเห็นพฤติกรรมแบบนี้ได้ด้วยตาตัวเอง
    เดี๋ยวนี้ก็อดสงสัยไม่ได้ว่าเรากำลัง เชื่อมั่น ฟีเจอร์ความปลอดภัยของ OS มากเกินไปหรือเปล่า