MuMu Player (NetEase)가 macOS에서 30분마다 17개의 시스템 정찰 명령을 무단 실행

1 month ago 11

macOS용 MuMu Player Pro가 실행 중일 때 30분마다 시스템 정보를 자동 수집하며, 네트워크·프로세스·애플리케이션·커널 데이터를 포함
수집 항목에는 로컬 네트워크 장치 목록, 실행 중인 프로세스 전체, 설치된 앱 메타데이터, hosts 파일, 커널 파라미터 등이 포함
이 정보는 Mac의 시리얼 번호와 SensorsData 분석 플랫폼을 통해 연결되어 장치 식별에 사용
MuMu의 개인정보처리방침에는 이러한 수집 행위가 명시되어 있지 않으며, 에뮬레이터 기능 수행에 필요하지 않음
반복적이고 비공개적인 데이터 수집으로 인해 투명성 결여와 잠재적 개인정보 침해 위험이 제기됨

시스템 데이터 수집 동작

MuMu Player Pro는 macOS에서 실행 중일 때 30분마다 자동으로 시스템 정보를 수집
- 수집 주기마다 ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 경로 아래에 타임스탬프 폴더 생성
- 각 폴더에는 17개의 명령 실행 결과가 저장됨
실행되는 명령에는 arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system 등이 포함
- 로컬 네트워크 장치(IP·MAC), 활성 네트워크 연결, 모든 실행 프로세스와 인자, 설치된 앱 목록 및 메타데이터, 커널 및 하드웨어 정보 등이 기록됨
- ps aux 결과는 약 200KB에 달하며, 사용 중인 앱·VPN·개발 도구·보안 소프트웨어 정보가 포함됨
각 수집 세션은 약 400KB의 데이터를 생성하며, 하루 평균 16회 실행됨

네트워크 관련 정보: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
시스템 및 앱 정보: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
환경 설정 정보: /etc/hosts 파일, 마운트된 파일시스템, LaunchAgents/Daemons 목록
MuMu API 연결 테스트를 위한 curl 명령 결과도 포함됨
각 세션마다 collect-finished 파일이 생성되어 수집 성공 여부를 기록

ps aux 명령으로 모든 프로세스의 전체 명령행 인자를 수집
- 실행 중인 애플리케이션, VPN 설정, 개발 도구, 세션 토큰, 사용자 디렉터리 경로, 보안 소프트웨어 정보가 노출됨
- 30분 간격으로 반복되어 사용 행태의 시간대별 기록이 형성됨

MuMu는 중국의 분석 플랫폼 SensorsData를 사용
- report/ 디렉터리에는 sensorsanalytics-com.sensorsdata.identities.plist 파일이 존재
- 이 파일에는 $identity_mac_serial_id 항목으로 Mac 하드웨어 시리얼 번호가 포함됨
sensorsanalytics-super_properties.plist에는 앱 버전, 채널, UUID, UTM 소스 등의 마케팅 속성이 기록됨
약 86KB 크기의 메시지 큐(sensorsanalytics-message-v2.plist)가 서버로 전송됨

MuMu Player Pro의 공식 개인정보처리방침에는 다음 항목이 명시되어 있지 않음
- ps aux, arp -a, /etc/hosts, sysctl -a, mdls 등의 실행
- Mac 시리얼 번호 수집
- 30분 주기의 반복 수집 작업
따라서 실제 동작은 공개된 정책과 불일치