V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bigbyto
V2EX  ›  程序员

macOS 的沙盒能否限制 qq 扫描硬盘

  •  
  •   bigbyto ·
    xingty · 2021-01-17 19:38:58 +08:00 · 7207 次点击
    这是一个创建于 527 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前几天爆出 qq 会扫描 chrome 的浏览记录,假如在 mac appstore 下载的 qq,有没有读取其他 app 的权限呢?有没有 mac 的开发者科普一下沙盒对 app 的限制有多大。
    31 条回复    2021-01-18 17:54:02 +08:00
    mgrddsj
        1
    mgrddsj  
       2021-01-17 19:52:37 +08:00
    爆出来说 QQ 扫硬盘只是 Windows 版而已。Mac App Store 上面下载的软件权限严得很,应该是不可能读取到除了自己沙盒外的文件的。
    lostberryzz
        2
    lostberryzz  
       2021-01-17 20:05:50 +08:00   ❤️ 1
    系统偏好设置 -> 安全性与隐私 -> 隐私 -> 完全磁盘访问权限 /文件和文件夹

    目前看来桌面端权限控制最好的还是 macOS
    MasterCai
        3
    MasterCai  
       2021-01-17 20:17:45 +08:00
    那自己从官网下的版本是不是存在这个问题呢,MAS 版本有点残废
    @lostberryzz 这两个选项下都没有看到 QQ 啊,是不是意味着 QQ 就没有这样的权限访问我的其他文件夹呢
    Jirajine
        4
    Jirajine  
       2021-01-17 20:22:54 +08:00 via Android
    @MasterCai 也可能是 QQ 申请了类似于“完全访问”或“兼容模式”,即可以不受沙盒限制访问所有当前用户有权限访问的文件系统。
    ysc3839
        5
    ysc3839  
       2021-01-17 20:25:23 +08:00 via Android   ❤️ 1
    没记错的话 macOS 的沙盒只对商店里的 app 有效,别的地方下载的不受限制。
    可以去下载一些文件管理或者终端软件试试。
    aqqwiyth
        6
    aqqwiyth  
       2021-01-17 20:43:10 +08:00
    10.15 已经有这个权限了.APP 读取任意目录都要授权
    ItzhacLea
        7
    ItzhacLea  
       2021-01-17 20:49:29 +08:00   ❤️ 6
    建议直接上 HIPS,目前跑了这么久,暂时没看到 QQ 会访问不属于自己的文件



    这是拿微信发送图片手动触发的,如果你怀疑小龙监控了你,那就监控回去:

    bigbyto
        8
    bigbyto  
    OP
       2021-01-17 21:21:15 +08:00
    @lostberryzz 看来在 mac appstore 下载的暂时还是安全的
    bigbyto
        9
    bigbyto  
    OP
       2021-01-17 21:26:24 +08:00
    @ysc3839 是的,必须要在 appstore 下载。不在 appstore 上架的国产软件我都用虚拟机隔离。
    Cavolo
        10
    Cavolo  
       2021-01-17 21:32:52 +08:00 via iPhone   ❤️ 1
    微信不管非 mas 版功能多丰富(小程序),没有上架 mas 的我宁愿用功能缺失的 mas 版
    dioxide
        11
    dioxide  
       2021-01-17 21:36:21 +08:00
    @ItzhacLea 这是什么软件,能提供个链接么?
    ItzhacLea
        12
    ItzhacLea  
       2021-01-17 22:11:21 +08:00   ❤️ 1
    @dioxide 是 F-Secure 的,目前还在 beta 测试中。https://beta.f-secure.com/welcome/

    如果你的系统还是 Catalina,那么还有同类软件: https://www.oneperiodic.com/products/handsoff/
    SoloCompany
        13
    SoloCompany  
       2021-01-17 22:30:58 +08:00
    想什么呢
    隐私限制的磁盘权限当然不仅仅是对 MAS 的应用有效, 甚至包括命令行
    所以你需要在隐私设置里面给 iTerm 授权后才能正常的使用 shell 来访问 FS
    SoloCompany
        14
    SoloCompany  
       2021-01-17 22:31:52 +08:00
    当然如果 QQ 让你装个 kext 你也点 yes 并且输入帐号密码的话, 那谁也无法阻挡你了
    ItzhacLea
        15
    ItzhacLea  
       2021-01-17 22:34:24 +08:00
    @SoloCompany 话是这么说没错,不过有例外。只需要简单的一个 drag and drop,shell 就可以直接访问受保护的文件夹了。NSOpenPanel 也可以

    Undocumented Catalina file access change: lapcatsoftware.com/articles/macl.html
    Lemeng
        16
    Lemeng  
       2021-01-17 22:34:49 +08:00   ❤️ 1
    我只能说,win 对于权限,几乎是奢求,装好 exe,几乎裸奔在开发者面前。看他想不想看
    SoloCompany
        17
    SoloCompany  
       2021-01-17 22:36:11 +08:00
    @ItzhacLea #15 DnD 和 Open Dialog 难道不是正常交互吗, 这和浏览器访问文件有啥不同吗
    ItzhacLea
        18
    ItzhacLea  
       2021-01-17 22:52:37 +08:00   ❤️ 1
    @SoloCompany 问题在于 com.apple.macl 受到 SIP 的保护,而且是 presist 在 FS 里的。只要我能骗你一次用 NSOpenPanel 打开 $HOME,接下来都不会受到 TCC 的控制
    ItzhacLea
        19
    ItzhacLea  
       2021-01-17 22:53:19 +08:00
    @ItzhacLea *persist
    azhi2007
        20
    azhi2007  
       2021-01-17 23:11:04 +08:00
    已经注销一个皇冠的 QQ,不用 QQ 了
    Hackerchai
        21
    Hackerchai  
       2021-01-18 00:23:13 +08:00 via Android
    所以非 MAS 应用到底有没有磁盘访问的限制
    MrKrabs
        22
    MrKrabs  
       2021-01-18 01:16:52 +08:00
    命令行都有限制,你们是不是没用过 mac
    ysc3839
        23
    ysc3839  
       2021-01-18 02:49:58 +08:00   ❤️ 4
    @lostberryzz @aqqwiyth @SoloCompany @ItzhacLea @Hackerchai @MrKrabs
    自己在虚拟机中测试了一下 macOS 10.15.7 (19H2) 的情况。测试的软件是 iTerm2,从 iTerm2 官网下载的,非商店版。
    结论是只有桌面、下载等部分文件夹有限制,其他地方可以随意读取,未测试写入情况。



    某软件的配置文件是不需要授权就能读到的。

    neoblackcap
        24
    neoblackcap  
       2021-01-18 02:59:51 +08:00
    @Lemeng windows 10 也有沙盒,不过那是属于高级功能,家庭版本不带。专业版直接快速开一个虚拟机,如果你觉得隐私很重要,完全可以用这个功能
    PeakFish
        25
    PeakFish  
       2021-01-18 09:48:33 +08:00
    我老感觉 我的电脑被人控制了,大神们 能怎么排查吗? 有没有 能查看 本地网络 传输什么信息的 软件,运行的可疑程序,端口什么的。macOS 。
    systemcall
        26
    systemcall  
       2021-01-18 10:10:30 +08:00
    @neoblackcap
    专业版还有 Windows Defend 应用程序高级防护,可惜只能给 Edge 用。使用这个功能,有点像是虚拟机的无缝模式。别的应用也想用,得再给 ms 打钱
    janxin
        27
    janxin  
       2021-01-18 11:46:55 +08:00
    这就是建议为什么从 app store 下载应用的原因
    Mitt
        28
    Mitt  
       2021-01-18 12:46:34 +08:00   ❤️ 1
    https://developer.apple.com/library/archive/documentation/Security/Conceptual/AppSandboxDesignGuide/AboutAppSandbox/AboutAppSandbox.html

    关于 Mac 软件的安全性和文件权限具体可以看这个

    @ysc3839 #23 举的例子是因为 iterm2 不属于沙盒软件,MAS 的软件必须开启沙盒,所以要确保 99%的安全性最简单的方法就是下载 MAS 版的软件,或者在监视器里看一下确保软件是运行在沙盒里的
    BernieDu
        29
    BernieDu  
       2021-01-18 15:48:15 +08:00
    @ysc3839 iterm 不是个壳子吗。。套的系统的 shell,比如 bash 和 zsh
    Licsber
        30
    Licsber  
       2021-01-18 17:53:29 +08:00
    t/664415
    早就说了( 得禁止所有权限
    要权限得白名单
    Licsber
        31
    Licsber  
       2021-01-18 17:54:02 +08:00
    https://www.v2ex.com/t/664415
    话说链接是怎么贴的 /t/664415
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2406 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 15:48 · PVG 23:48 · LAX 08:48 · JFK 11:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.