MuMu Player (NetEase) ejecuta sin autorización 17 comandos de reconocimiento del sistema cada 30 minutos en macOS

 (gist.github.com/interpiduser5)
1 puntos por GN⁺ 2026-02-22 | 1 comentarios | Compartir por WhatsApp
  • MuMu Player Pro para macOS recopila automáticamente información del sistema cada 30 minutos mientras está en ejecución, incluyendo datos de red, procesos, aplicaciones y kernel
  • Entre los datos recopilados se incluyen la lista de dispositivos de la red local, todos los procesos en ejecución, metadatos de apps instaladas, el archivo hosts y parámetros del kernel
  • Esta información se vincula mediante el número de serie del Mac y la plataforma de analítica SensorsData, y se usa para identificar el dispositivo
  • La política de privacidad de MuMu no especifica estas prácticas de recopilación, y no son necesarias para el funcionamiento del emulador
  • La recopilación repetitiva y no pública de datos plantea falta de transparencia y posibles riesgos de privacidad

Comportamiento de recopilación de datos del sistema

  • MuMu Player Pro, mientras se ejecuta en macOS, recopila automáticamente información del sistema cada 30 minutos
    • En cada ciclo de recopilación se crea una carpeta con marca de tiempo dentro de ~/Library/Application Support/com.netease.mumu.nemux-global/logs/
    • En cada carpeta se guardan los resultados de ejecución de 17 comandos
  • Entre los comandos ejecutados están arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system y otros
    • Se registran dispositivos de la red local (IP y MAC), conexiones de red activas, todos los procesos en ejecución y sus argumentos, lista de apps instaladas y sus metadatos, así como información del kernel y del hardware
    • El resultado de ps aux alcanza unos 200 KB e incluye información sobre apps en uso, VPN, herramientas de desarrollo y software de seguridad
  • Cada sesión de recopilación genera alrededor de 400 KB de datos y se ejecuta en promedio 16 veces al día

Contenido de los datos recopilados

  • Información relacionada con la red: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • Información del sistema y de apps: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • Información de configuración del entorno: archivo /etc/hosts, sistemas de archivos montados, lista de LaunchAgents/Daemons
  • También se incluyen los resultados de comandos curl para probar la conexión con la API de MuMu
  • En cada sesión se crea un archivo collect-finished para registrar si la recopilación se completó con éxito

Problemas de recopilar la lista de procesos

  • El comando ps aux recopila los argumentos completos de línea de comandos de todos los procesos
    • Quedan expuestos aplicaciones en ejecución, configuración de VPN, herramientas de desarrollo, tokens de sesión, rutas de directorios de usuario e información de software de seguridad
    • Al repetirse cada 30 minutos, se forma un registro cronológico de los patrones de uso

Analítica e identificación del dispositivo

  • MuMu usa SensorsData, una plataforma de analítica de China
    • En el directorio report/ existe el archivo sensorsanalytics-com.sensorsdata.identities.plist
    • Este archivo incluye el elemento $identity_mac_serial_id, que contiene el número de serie del hardware del Mac
  • En sensorsanalytics-super_properties.plist se registran propiedades de marketing como la versión de la app, canal, UUID y fuente UTM
  • Una cola de mensajes de aproximadamente 86 KB (sensorsanalytics-message-v2.plist) se envía al servidor

Inconsistencia con la política de privacidad

  • La política de privacidad oficial de MuMu Player Pro no especifica los siguientes puntos
    • La ejecución de ps aux, arp -a, /etc/hosts, sysctl -a, mdls y otros
    • La recopilación del número de serie del Mac
    • La tarea de recopilación repetitiva cada 30 minutos
  • Por lo tanto, el comportamiento real no coincide con la política publicada

Conclusión

  • MuMu Player Pro recopila periódicamente un nivel de información del sistema innecesario para el funcionamiento del emulador
  • Los datos recopilados forman un perfil integral del sistema, incluyendo configuración de red, lista de procesos, apps instaladas, ajustes de DNS y parámetros del kernel
  • Al combinar la analítica de SensorsData con el número de serie del hardware, se crea una huella digital persistente y detallada del dispositivo
  • Estas prácticas se realizan de forma no pública y repetitiva, por lo que al menos pueden considerarse un caso grave de falta de transparencia

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-22
Comentarios de Hacker News

  • Ver incidentes como este me hace preocuparme por la expansión de los videojuegos chinos en Occidente
    Me preocupa pensar que mi hijo podría estar jugando Genshin Impact o Black Myth: Wukong mientras datos de la red local se envían a China
    Si los gobiernos occidentales hubieran respondido como corresponde, esto ya debería estar prohibido

    • Epic Games también tiene a Tencent como accionista parcial, y su launcher llegó a incluir spyware
      Aun así, en los medios tecnológicos occidentales sigue siendo popular la narrativa de que “Tim Sweeney es el héroe que romperá los monopolios de Valve y Apple”
      Enlaces relacionados: debate en Hacker News, análisis en Reddit
    • Hoy es aún peor por el anti-cheat a nivel de kernel (KLAC)
      Este tipo de sistemas es un entorno soñado para cualquiera que quiera explorar la red interna o escalar privilegios
    • El nuevo Delta Force también fue desarrollado en China, y dicen que escanea todo el disco duro con fines de anti-cheat
    • No creo que haya que sobrerreaccionar ante la idea de que “los juegos chinos se llevan tus datos”
      Yo los separo con VLAN y manejo con mucho cuidado los logs del firewall en el router
      Claro, confiando en que todo eso lo procese de forma segura un router chino
    • Por eso uso PCs completamente separadas para el trabajo y para jugar
      Aislar con VLAN o Wi‑Fi de invitados no es perfecto, pero al menos reduce el riesgo en un 75% más o menos
      Aun así, sigue habiendo una máquina potente conectada a internet, y persisten riesgos como el rastreo de ubicación por Bluetooth y Wi‑Fi
      Al final, frenar una intrusión a nivel estatal es una batalla que una persona sola no puede sostener

  • Yo siempre ejecuto el software de empresas chinas solo dentro de un sandbox
    En móvil aprovecho las restricciones de permisos de Android/iOS, y en escritorio uso una VM
    Las grandes tecnológicas de China continental casi no tienen noción de la privacidad del usuario, y su modelo de negocio consiste en ganar dinero vendiendo datos

    • Hace poco instalé la app de SoundCloud en iOS y me sorprendió ver el mensaje de que “comparte datos con 954 socios”
    • Mucha gente pregunta cómo implementar un sandbox en móvil
      Cada vez que instalo una app como WeChat me queda una sensación desagradable
    • Hoy creo que todas las apps deberían estar aisladas
      Las empresas recolectan datos sin distinguir, y afirman que las apps siempre necesitan conexión a internet para funcionar
      Aun así, si bloqueas el acceso a la LAN con un firewall, puedes impedir el acceso a archivos
    • También salió la broma de que no es solo “China continental”, sino también “Estados Unidos continental”
    • Al decir que puedes borrar la palabra “Mainland” y la frase sigue funcionando, la sátira es que al final todas las big tech son parecidas

  • Cada vez que una empresa china causa problemas, en los comentarios siempre se repite la reacción de “las empresas estadounidenses hacen lo mismo”
    Es un patrón demasiado predecible

    • Vale la pena pensar por qué surge esa reacción
    • En realidad, también es verdad

  • Yo ejecuto software educativo y el cliente remoto de VM de VMware dentro de una VM nativa de Mac
    Si aparecen casos de abuso de recolección de datos desde otros países, no me sorprendería
    Sería bueno reportarlo a Apple Security para que evalúen si hay riesgo de RCE o de ataques de C&C
    Ojalá esto motive a Apple a limitar la recolección de datos de todo el sistema que hace Discord
    Por cierto, UTM.app es una buena opción para aislar Discord usando el sandboxing a nivel de sistema operativo

  • Al final, este tipo de incidentes refuerza la imagen de que “software y hardware chinos = ausencia de ética
    Da la impresión de que usarían cualquier medio con tal de obtener información del usuario

  • La situación se siente fea
    Aun así, ellos sí declaran que recolectan de todo
    Se puede ver en la política de privacidad de MuMu Player
    Lo triste es simplemente la realidad del mundo que permitió que esto se volviera normal

    • La expresión “otra información de red/técnica” es tan amplia que en la práctica podría incluirlo todo
    • Aun así, no dice explícitamente que también recolecten la salida de ps aux

  • Aunque se supone que macOS está centrado en la privacidad, sorprende que este tipo de comportamiento siga estando permitido
    Si el sandbox de aplicaciones es opcional, entonces no sirve de mucho

    • macOS no está centrado en la privacidad, sino en el marketing
      La prioridad es “¿podemos promocionar esta función?”
    • Casi nadie llamaría a macOS un sistema operativo centrado en la privacidad
      Quizá iOS, pero macOS no

  • Cada vez que instalo un juego móvil hecho por NetEase me siento incómodo
    Me pasó especialmente con la versión móvil de Dead by Daylight
    Persona 5X no es de NetEase, pero igual me deja intranquilo
    Como es Android, espero que la recolección esté más limitada, pero me pregunto si habrá una forma de lograr un aislamiento total

    • Le aconsejaron considerar sistemas operativos centrados en seguridad como GrapheneOS o Calyx
    • También hubo quien opinó que no se preocupe tanto y simplemente disfrute el juego

  • Creo que quienes hicieron este spyware deberían recibir al menos 10 años de prisión
    Los CEOs involucrados también deberían asumir responsabilidad

  • Antes todo el mundo usaba firewalls personales como “Little Snitch”, así que podías ver estas conductas con tus propios ojos
    Hoy me pregunto si no estaremos confiando demasiado ciegamente en las funciones de seguridad del sistema operativo