V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bigbyto
V2EX  ›  程序员

macOS 的沙盒能否限制 qq 扫描硬盘

  •  
  •   bigbyto · 146 天前 · 5437 次点击
    这是一个创建于 146 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前几天爆出 qq 会扫描 chrome 的浏览记录,假如在 mac appstore 下载的 qq,有没有读取其他 app 的权限呢?有没有 mac 的开发者科普一下沙盒对 app 的限制有多大。
    31 条回复    2021-01-18 17:54:02 +08:00
    mgrddsj
        1
    mgrddsj   146 天前
    爆出来说 QQ 扫硬盘只是 Windows 版而已。Mac App Store 上面下载的软件权限严得很,应该是不可能读取到除了自己沙盒外的文件的。
    lostberryzz
        2
    lostberryzz   146 天前   ❤️ 1
    系统偏好设置 -> 安全性与隐私 -> 隐私 -> 完全磁盘访问权限 /文件和文件夹

    目前看来桌面端权限控制最好的还是 macOS
    MasterCai
        3
    MasterCai   146 天前
    那自己从官网下的版本是不是存在这个问题呢,MAS 版本有点残废
    @lostberryzz 这两个选项下都没有看到 QQ 啊,是不是意味着 QQ 就没有这样的权限访问我的其他文件夹呢
    Jirajine
        4
    Jirajine   146 天前 via Android
    @MasterCai 也可能是 QQ 申请了类似于“完全访问”或“兼容模式”,即可以不受沙盒限制访问所有当前用户有权限访问的文件系统。
    ysc3839
        5
    ysc3839   146 天前 via Android   ❤️ 1
    没记错的话 macOS 的沙盒只对商店里的 app 有效,别的地方下载的不受限制。
    可以去下载一些文件管理或者终端软件试试。
    aqqwiyth
        6
    aqqwiyth   146 天前
    10.15 已经有这个权限了.APP 读取任意目录都要授权
    ItzhacLea
        7
    ItzhacLea   146 天前   ❤️ 6
    建议直接上 HIPS,目前跑了这么久,暂时没看到 QQ 会访问不属于自己的文件



    这是拿微信发送图片手动触发的,如果你怀疑小龙监控了你,那就监控回去:

    bigbyto
        8
    bigbyto   146 天前
    @lostberryzz 看来在 mac appstore 下载的暂时还是安全的
    bigbyto
        9
    bigbyto   146 天前
    @ysc3839 是的,必须要在 appstore 下载。不在 appstore 上架的国产软件我都用虚拟机隔离。
    Cavolo
        10
    Cavolo   146 天前 via iPhone   ❤️ 1
    微信不管非 mas 版功能多丰富(小程序),没有上架 mas 的我宁愿用功能缺失的 mas 版
    dioxide
        11
    dioxide   146 天前
    @ItzhacLea 这是什么软件,能提供个链接么?
    ItzhacLea
        12
    ItzhacLea   146 天前   ❤️ 1
    @dioxide 是 F-Secure 的,目前还在 beta 测试中。https://beta.f-secure.com/welcome/

    如果你的系统还是 Catalina,那么还有同类软件: https://www.oneperiodic.com/products/handsoff/
    SoloCompany
        13
    SoloCompany   146 天前
    想什么呢
    隐私限制的磁盘权限当然不仅仅是对 MAS 的应用有效, 甚至包括命令行
    所以你需要在隐私设置里面给 iTerm 授权后才能正常的使用 shell 来访问 FS
    SoloCompany
        14
    SoloCompany   146 天前
    当然如果 QQ 让你装个 kext 你也点 yes 并且输入帐号密码的话, 那谁也无法阻挡你了
    ItzhacLea
        15
    ItzhacLea   146 天前
    @SoloCompany 话是这么说没错,不过有例外。只需要简单的一个 drag and drop,shell 就可以直接访问受保护的文件夹了。NSOpenPanel 也可以

    Undocumented Catalina file access change: lapcatsoftware.com/articles/macl.html
    Lemeng
        16
    Lemeng   146 天前   ❤️ 1
    我只能说,win 对于权限,几乎是奢求,装好 exe,几乎裸奔在开发者面前。看他想不想看
    SoloCompany
        17
    SoloCompany   146 天前
    @ItzhacLea #15 DnD 和 Open Dialog 难道不是正常交互吗, 这和浏览器访问文件有啥不同吗
    ItzhacLea
        18
    ItzhacLea   145 天前   ❤️ 1
    @SoloCompany 问题在于 com.apple.macl 受到 SIP 的保护,而且是 presist 在 FS 里的。只要我能骗你一次用 NSOpenPanel 打开 $HOME,接下来都不会受到 TCC 的控制
    ItzhacLea
        19
    ItzhacLea   145 天前
    @ItzhacLea *persist
    azhi2007
        20
    azhi2007   145 天前
    已经注销一个皇冠的 QQ,不用 QQ 了
    Hackerchai
        21
    Hackerchai   145 天前 via Android
    所以非 MAS 应用到底有没有磁盘访问的限制
    MrKrabs
        22
    MrKrabs   145 天前
    命令行都有限制,你们是不是没用过 mac
    ysc3839
        23
    ysc3839   145 天前   ❤️ 3
    @lostberryzz @aqqwiyth @SoloCompany @ItzhacLea @Hackerchai @MrKrabs
    自己在虚拟机中测试了一下 macOS 10.15.7 (19H2) 的情况。测试的软件是 iTerm2,从 iTerm2 官网下载的,非商店版。
    结论是只有桌面、下载等部分文件夹有限制,其他地方可以随意读取,未测试写入情况。



    某软件的配置文件是不需要授权就能读到的。

    neoblackcap
        24
    neoblackcap   145 天前
    @Lemeng windows 10 也有沙盒,不过那是属于高级功能,家庭版本不带。专业版直接快速开一个虚拟机,如果你觉得隐私很重要,完全可以用这个功能
    PeakFish
        25
    PeakFish   145 天前
    我老感觉 我的电脑被人控制了,大神们 能怎么排查吗? 有没有 能查看 本地网络 传输什么信息的 软件,运行的可疑程序,端口什么的。macOS 。
    systemcall
        26
    systemcall   145 天前
    @neoblackcap
    专业版还有 Windows Defend 应用程序高级防护,可惜只能给 Edge 用。使用这个功能,有点像是虚拟机的无缝模式。别的应用也想用,得再给 ms 打钱
    janxin
        27
    janxin   145 天前
    这就是建议为什么从 app store 下载应用的原因
    Mitt
        28
    Mitt   145 天前   ❤️ 1
    https://developer.apple.com/library/archive/documentation/Security/Conceptual/AppSandboxDesignGuide/AboutAppSandbox/AboutAppSandbox.html

    关于 Mac 软件的安全性和文件权限具体可以看这个

    @ysc3839 #23 举的例子是因为 iterm2 不属于沙盒软件,MAS 的软件必须开启沙盒,所以要确保 99%的安全性最简单的方法就是下载 MAS 版的软件,或者在监视器里看一下确保软件是运行在沙盒里的
    BernieDu
        29
    BernieDu   145 天前
    @ysc3839 iterm 不是个壳子吗。。套的系统的 shell,比如 bash 和 zsh
    Licsber
        30
    Licsber   145 天前
    t/664415
    早就说了( 得禁止所有权限
    要权限得白名单
    Licsber
        31
    Licsber   145 天前
    https://www.v2ex.com/t/664415
    话说链接是怎么贴的 /t/664415
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2048 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 14:48 · PVG 22:48 · LAX 07:48 · JFK 10:48
    ♥ Do have faith in what you're doing.