MuMu Player (NetEase) exécute sans autorisation 17 commandes de reconnaissance système toutes les 30 minutes sur macOS

 (gist.github.com/interpiduser5)
1 points par GN⁺ 2026-02-22 | 1 commentaires | Partager sur WhatsApp
  • MuMu Player Pro pour macOS collecte automatiquement des informations système toutes les 30 minutes lorsqu’il est en cours d’exécution, y compris des données réseau, processus, applications et noyau
  • Les éléments collectés incluent notamment la liste des appareils du réseau local, l’ensemble des processus en cours, les métadonnées des applications installées, le fichier hosts et les paramètres du noyau
  • Ces informations sont liées au numéro de série du Mac via la plateforme d’analyse SensorsData et utilisées pour l’identification de l’appareil
  • La politique de confidentialité de MuMu ne mentionne pas ces collectes, qui ne sont pas nécessaires au fonctionnement de l’émulateur
  • Cette collecte répétée et non publique de données soulève des questions de manque de transparence et de risque potentiel d’atteinte à la vie privée

Collecte de données système

  • MuMu Player Pro collecte automatiquement des informations système toutes les 30 minutes lorsqu’il s’exécute sur macOS
    • À chaque cycle de collecte, un dossier horodaté est créé dans ~/Library/Application Support/com.netease.mumu.nemux-global/logs/
    • Chaque dossier contient le résultat d’exécution de 17 commandes
  • Parmi les commandes exécutées figurent arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system
    • Sont enregistrés notamment les appareils du réseau local (IP·MAC), les connexions réseau actives, tous les processus en cours avec leurs arguments, la liste des applications installées et leurs métadonnées, ainsi que des informations sur le noyau et le matériel
    • Le résultat de ps aux atteint environ 200 KB et inclut des informations sur les applications utilisées, les VPN, les outils de développement et les logiciels de sécurité
  • Chaque session de collecte génère environ 400 KB de données et s’exécute en moyenne 16 fois par jour

Contenu des données collectées

  • Informations liées au réseau : arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • Informations système et applications : listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • Informations de configuration de l’environnement : fichier /etc/hosts, systèmes de fichiers montés, liste des LaunchAgents/Daemons
  • Les résultats de commandes curl destinées à tester la connexion à l’API MuMu sont également inclus
  • À chaque session, un fichier collect-finished est créé pour consigner si la collecte a réussi

Le problème de la collecte de la liste des processus

  • La commande ps aux collecte les arguments complets de ligne de commande de tous les processus
    • Cela expose les applications en cours d’exécution, les configurations VPN, les outils de développement, les jetons de session, les chemins de répertoires utilisateur et des informations sur les logiciels de sécurité
    • Répétée toutes les 30 minutes, cette collecte constitue un historique chronologique des usages

Analyse et identification de l’appareil

  • MuMu utilise la plateforme d’analyse chinoise SensorsData
    • Le répertoire report/ contient le fichier sensorsanalytics-com.sensorsdata.identities.plist
    • Ce fichier comprend l’entrée $identity_mac_serial_id, qui contient le numéro de série matériel du Mac
  • sensorsanalytics-super_properties.plist enregistre des propriétés marketing telles que la version de l’application, le canal, l’UUID et la source UTM
  • Une file de messages d’environ 86 KB (sensorsanalytics-message-v2.plist) est transmise au serveur

Incohérence avec la politique de confidentialité

  • La politique de confidentialité officielle de MuMu Player Pro ne mentionne pas explicitement les éléments suivants
    • l’exécution de ps aux, arp -a, /etc/hosts, sysctl -a, mdls, etc.
    • la collecte du numéro de série du Mac
    • les tâches de collecte répétées toutes les 30 minutes
  • Le comportement réel est donc en contradiction avec la politique publiée

Conclusion

  • MuMu Player Pro collecte périodiquement un niveau d’informations système non nécessaire au fonctionnement d’un émulateur
  • Les données collectées forment un profil système complet, incluant configuration réseau, liste des processus, applications installées, paramètres DNS et paramètres du noyau
  • La combinaison de l’analyse SensorsData et du numéro de série matériel permet de créer une empreinte persistante et détaillée de l’appareil
  • Comme ces pratiques sont menées de manière non publique et répétée, elles constituent au minimum un grave manque de transparence

À lire aussi

1 commentaires

 
GN⁺ 2026-02-22
Commentaires sur Hacker News

  • Quand je vois ce genre d’affaires, ça m’inquiète de voir les jeux vidéo chinois se répandre en Occident
    Je me dis qu’un enfant qui joue à Genshin Impact ou à Black Myth: Wukong pourrait très bien envoyer des données du réseau local vers la Chine
    Si les gouvernements occidentaux réagissaient correctement, ils auraient déjà dû interdire ce genre de choses

    • Epic Games a aussi Tencent parmi ses actionnaires, et son launcher a déjà été accusé d’inclure un logiciel espion
      Malgré ça, le récit selon lequel « Tim Sweeney est le héros qui brise les monopoles de Valve et d’Apple » reste très populaire dans les médias tech occidentaux
      Liens associés : discussion Hacker News, analyse sur Reddit
    • Aujourd’hui, c’est encore plus grave à cause des anti-triches au niveau noyau (KLAC)
      Ce genre de système est un environnement rêvé pour quelqu’un qui veut explorer l’intérieur d’un réseau ou élever ses privilèges
    • Le nouveau Delta Force a lui aussi été développé en Chine et ferait un scan complet du disque dur à des fins d’anti-triche
    • Je pense qu’il ne faut pas non plus surréagir dès qu’on dit que « les jeux chinois siphonnent les données »
      Moi, j’isole ça avec des VLAN et je gère rigoureusement les logs du pare-feu sur le routeur
      Bien sûr, en faisant confiance au fait que tout cela est traité en toute sécurité par un routeur chinois
    • C’est pour ça que j’utilise des PC complètement séparés pour le travail et pour le jeu
      Même avec l’isolation via VLAN ou Wi-Fi invité, ce n’est pas parfait, mais ça réduit au moins le risque d’environ 75 %
      Il reste malgré tout une machine puissante connectée à Internet, et des risques comme le suivi de position via Bluetooth et Wi-Fi existent toujours
      Au final, se défendre contre une intrusion de niveau étatique est un combat qu’un individu ne peut pas assumer seul

  • De mon côté, j’exécute toujours les logiciels d’entreprises chinoises uniquement dans un bac à sable
    Sur mobile, je m’appuie sur les restrictions de permissions d’Android/iOS, et sur desktop j’utilise des VM
    Les grandes entreprises tech de Chine continentale ont très peu de sens de la vie privée des utilisateurs, et leur modèle consiste à monétiser les données

    • J’ai récemment installé l’app SoundCloud sur iOS, et j’ai été surpris de voir la mention « partage des données avec 954 partenaires »
    • Beaucoup demandent comment mettre en place un bac à sable sur mobile
      Chaque fois que j’installe une app comme WeChat, ça me met mal à l’aise
    • J’en viens à penser qu’il faudrait désormais isoler toutes les apps
      Les entreprises collectent les données sans distinction et affirment qu’une connexion Internet permanente est nécessaire pour que l’app fonctionne
      Cela dit, avec un pare-feu qui bloque l’accès au LAN, on peut au moins empêcher l’accès aux fichiers
    • Certains plaisantent en disant que ce n’est pas seulement « la Chine continentale », mais aussi « les États-Unis continentaux »
    • En disant qu’il suffit d’enlever le mot « Mainland » pour que la phrase reste vraie, on souligne de façon satirique que toutes les big tech se ressemblent

  • Chaque fois qu’une entreprise chinoise crée un problème, les commentaires répètent toujours : « les entreprises américaines font pareil »
    C’est un schéma trop prévisible

    • Ça vaut la peine de se demander pourquoi cette réaction revient si souvent
    • En réalité, c’est aussi vrai

  • J’exécute les logiciels éducatifs et le client VMware pour VM distante dans une VM native sur Mac
    Même s’il y a des cas d’abus de collecte de données venant d’autres pays, ça ne me surprendrait pas
    Il vaudrait mieux le signaler à Apple Security pour évaluer s’il s’agit de RCE ou d’une attaque de type C&C
    J’espère que cela poussera Apple à limiter la collecte de données à l’échelle du système entier par Discord
    À noter que UTM.app est une option correcte pour isoler Discord grâce au bac à sable au niveau de l’OS

  • Ce genre d’affaire ne fait au final que renforcer l’image « logiciel/matériel chinois = absence d’éthique »
    On a l’impression qu’ils sont prêts à employer n’importe quel moyen pour obtenir les informations des utilisateurs

  • Je trouve la situation lamentable
    Cela dit, ils indiquent bien qu’ils collectent tout
    On peut le voir dans la politique de confidentialité de MuMu Player
    C’est juste triste de voir le monde qu’on a fini par créer

    • L’expression « autres informations réseau/techniques » est tellement large qu’elle peut en pratique tout inclure
    • En revanche, il n’est pas indiqué noir sur blanc qu’ils collectent la sortie de ps aux

  • macOS est censé être axé sur la vie privée, mais c’est surprenant que ce genre de comportement soit encore autorisé
    Si le sandboxing des apps est optionnel, ça n’a aucun sens

    • macOS n’est pas centré sur la vie privée, mais sur le marketing
      La priorité, c’est : « Est-ce qu’on peut faire la promo de cette fonctionnalité ? »
    • Presque personne ne qualifie macOS d’OS centré sur la vie privée
      iOS, peut-être, mais pas macOS

  • Chaque fois que j’installe un jeu mobile de NetEase, ça me met mal à l’aise
    C’était particulièrement le cas avec la version mobile de Dead by Daylight
    Persona 5X n’est pas un titre NetEase, mais ça me laisse quand même un mauvais sentiment
    J’espère qu’Android limitera la collecte, mais je me demande s’il existe un moyen de l’isoler complètement

    • On lui conseille d’envisager un OS axé sécurité comme GrapheneOS ou Calyx
    • D’autres disent de ne pas trop s’inquiéter et de simplement profiter du jeu

  • Je pense que les personnes qui ont créé ce logiciel espion devraient prendre au moins 10 ans de prison
    Les CEO impliqués devraient eux aussi être tenus pour responsables

  • Avant, tout le monde utilisait des pare-feu personnels comme « Little Snitch », ce qui permettait de voir ce genre de comportement de ses propres yeux
    Aujourd’hui, je me demande si on ne fait pas trop aveuglément confiance aux fonctions de sécurité de l’OS