MuMu Player (NetEase) führt unter macOS alle 30 Minuten unautorisiert 17 System-Erkundungsbefehle aus

 (gist.github.com/interpiduser5)
1 Punkte von GN⁺ 2026-02-22 | 1 Kommentare | Auf WhatsApp teilen
  • MuMu Player Pro für macOS sammelt während der Ausführung automatisch alle 30 Minuten Systeminformationen, darunter Netzwerk-, Prozess-, Anwendungs- und Kernel-Daten
  • Zu den gesammelten Daten gehören Listen lokaler Netzwerkgeräte, sämtliche laufenden Prozesse, Metadaten installierter Apps, die hosts-Datei und Kernel-Parameter
  • Diese Informationen werden über die Seriennummer des Mac und die Analyseplattform SensorsData verknüpft und zur Geräteidentifizierung verwendet
  • In der Datenschutzerklärung von MuMu wird diese Datenerfassung nicht offengelegt und sie ist für die Funktion des Emulators nicht erforderlich
  • Die wiederholte und intransparente Datenerfassung wirft Fragen zu mangelnder Transparenz und potenziellen Datenschutzverletzungen auf

Verhalten bei der Erfassung von Systemdaten

  • MuMu Player Pro sammelt unter macOS während der Ausführung automatisch alle 30 Minuten Systeminformationen
    • In jedem Erfassungszyklus wird unter ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ ein Ordner mit Zeitstempel erstellt
    • In jedem Ordner werden die Ergebnisse von 17 ausgeführten Befehlen gespeichert
  • Zu den ausgeführten Befehlen gehören arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system usw.
    • Erfasst werden unter anderem lokale Netzwerkgeräte (IP·MAC), aktive Netzwerkverbindungen, alle laufenden Prozesse samt Argumenten, Listen installierter Apps und deren Metadaten sowie Kernel- und Hardware-Informationen
    • Die Ausgabe von ps aux umfasst rund 200 KB und enthält Informationen zu verwendeten Apps, VPNs, Entwicklungswerkzeugen und Sicherheitssoftware
  • Jede Erfassungssitzung erzeugt etwa 400 KB an Daten und wird im Durchschnitt 16-mal pro Tag ausgeführt

Inhalt der erfassten Daten

  • Netzwerkbezogene Informationen: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • System- und App-Informationen: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • Informationen zu Umgebungseinstellungen: Datei /etc/hosts, eingehängte Dateisysteme, Listen von LaunchAgents/Daemons
  • Ebenfalls enthalten sind die Ergebnisse von curl-Befehlen zum Testen der Verbindung mit der MuMu-API
  • In jeder Sitzung wird eine Datei collect-finished erzeugt, die den Erfolg der Erfassung protokolliert

Probleme bei der Erfassung der Prozessliste

  • Mit dem Befehl ps aux werden die vollständigen Kommandozeilenargumente aller Prozesse erfasst
    • Dadurch werden laufende Anwendungen, VPN-Konfigurationen, Entwicklungswerkzeuge, Session-Tokens, Pfade zu Benutzerverzeichnissen und Informationen zu Sicherheitssoftware offengelegt
    • Durch die Wiederholung im 30-Minuten-Takt entsteht eine zeitlich gegliederte Aufzeichnung des Nutzungsverhaltens

Analyse und Geräteidentifizierung

  • MuMu verwendet die chinesische Analyseplattform SensorsData
    • Im Verzeichnis report/ befindet sich die Datei sensorsanalytics-com.sensorsdata.identities.plist
    • Diese Datei enthält unter dem Eintrag $identity_mac_serial_id die Hardware-Seriennummer des Mac
  • In sensorsanalytics-super_properties.plist werden Marketing-Eigenschaften wie App-Version, Kanal, UUID und UTM-Quelle gespeichert
  • Eine etwa 86 KB große Nachrichtenwarteschlange (sensorsanalytics-message-v2.plist) wird an den Server übertragen

Widerspruch zur Datenschutzerklärung

  • In der offiziellen Datenschutzerklärung von MuMu Player Pro werden die folgenden Punkte nicht ausdrücklich genannt
    • die Ausführung von ps aux, arp -a, /etc/hosts, sysctl -a, mdls usw.
    • die Erfassung der Mac-Seriennummer
    • die wiederkehrende Erfassungsaufgabe im 30-Minuten-Takt
  • Das tatsächliche Verhalten steht daher im Widerspruch zur veröffentlichten Richtlinie

Fazit

  • MuMu Player Pro sammelt regelmäßig Systeminformationen in einem Umfang, der für die Funktion eines Emulators nicht erforderlich ist
  • Die erfassten Daten bilden mit Netzwerkkonfiguration, Prozesslisten, installierten Apps, DNS-Einstellungen und Kernel-Parametern ein umfassendes Systemprofil
  • Durch die Kombination aus SensorsData-Analyse und Hardware-Seriennummer entsteht ein dauerhaftes und detailliertes Geräte-Fingerprinting
  • Da dieses Verhalten intransparent und wiederholt erfolgt, ist es mindestens als schwerwiegender Fall mangelnder Transparenz zu bewerten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-22
Hacker-News-Kommentare

  • Wenn man solche Vorfälle sieht, macht es einem Sorgen, dass sich chinesische Videospiele im Westen ausbreiten
    Man denkt daran, dass ein Kind vielleicht Genshin Impact oder Black Myth: Wukong spielt und dabei Daten aus dem lokalen Netzwerk nach China überträgt
    Wenn westliche Regierungen richtig reagiert hätten, hätten sie so etwas längst verbieten müssen

    • Auch Epic Games gehört teilweise Tencent, und im Launcher war schon einmal Spyware enthalten
      Trotzdem ist die Erzählung, Tim Sweeney sei der Held, der die Monopole von Valve und Apple aufbricht, in westlichen Tech-Medien weiterhin populär
      Relevante Links: Hacker-News-Diskussion, Reddit-Analyse
    • Heutzutage ist es wegen Kernel-Level-Anti-Cheat (KLAC) noch ernster geworden
      Solche Systeme sind eine Traumumgebung für jemanden, der das Netzwerkinnere auskundschaften oder Rechte ausweiten will
    • Das neue Delta Force wurde ebenfalls in China entwickelt und soll zum Zweck des Anti-Cheat die gesamte Festplatte scannen
    • Ich finde nicht, dass man überreagieren muss, wenn jemand sagt, chinesische Spiele würden Daten abziehen
      Ich trenne per VLAN und verwalte auf dem Router die Firewall-Logs äußerst strikt
      Natürlich vertraue ich darauf, dass mein chinesischer Router das alles sicher erledigt
    • Deshalb nutze ich Arbeits- und Gaming-PCs vollständig getrennt
      Selbst wenn die Isolation über VLAN oder Gast-WLAN nicht perfekt ist, lässt sich das Risiko so zumindest um etwa 75 % senken
      Trotzdem bleibt weiterhin eine leistungsfähige, mit dem Internet verbundene Maschine übrig, und Risiken wie Bluetooth-/Wi‑Fi-Standortverfolgung bestehen weiter
      Letztlich ist es ein Kampf, den Einzelpersonen gegen Angriffe auf Staatenniveau nicht bewältigen können

  • Software chinesischer Unternehmen lasse ich grundsätzlich nur in einer Sandbox laufen
    Auf Mobilgeräten nutze ich die Berechtigungsbeschränkungen von Android/iOS, auf dem Desktop verwende ich VMs
    Große Tech-Unternehmen auf dem chinesischen Festland haben fast kein Gespür für Privatsphäre, und ihr Geschäftsmodell ist darauf ausgelegt, mit dem Verkauf von Daten Geld zu verdienen

    • Ich habe neulich unter iOS die SoundCloud-App installiert und war schockiert, als dort stand, dass Daten mit 954 Partnern geteilt werden
    • Viele fragen, wie man auf Mobilgeräten eine Sandbox umsetzen soll
      Jedes Mal, wenn ich Apps wie WeChat installiere, habe ich ein mulmiges Gefühl
    • Inzwischen denke ich, dass man eigentlich alle Apps isolieren sollte
      Unternehmen sammeln unterschiedslos Daten und behaupten, Apps könnten nur mit permanenter Internetverbindung funktionieren
      Mit einer Firewall, die den LAN-Zugriff blockiert, kann man den Dateizugriff aber immerhin unterbinden
    • Dann kommt der Witz, dass nicht nur das „chinesische Festland“, sondern auch das „US-amerikanische Festland“ genauso sei
    • Der sarkastische Punkt ist, dass der Satz selbst dann noch stimmt, wenn man das Wort „Mainland“ entfernt: Am Ende sind alle Big-Tech-Konzerne ähnlich

  • Jedes Mal, wenn ein chinesisches Unternehmen Probleme verursacht, wiederholen sich in den Kommentaren sofort Reaktionen wie „US-Unternehmen machen doch dasselbe“
    Das ist ein viel zu vorhersehbares Muster

    • Man sollte sich überlegen, warum solche Reaktionen überhaupt kommen
    • Tatsächlich ist die Aussage eben auch wahr

  • Ich lasse Bildungssoftware und den Remote-VM-Client von VMware in einer nativen VM auf dem Mac laufen
    Es würde mich nicht überraschen, wenn auch andere Länder Datensammlung missbrauchen
    Wahrscheinlich wäre es gut, das an Apple Security zu melden, damit geprüft werden kann, ob es sich um RCE- oder C&C-Angriffe handelt
    Hoffentlich gibt das Apple einen Anstoß, auch die systemweite Datensammlung von Discord einzuschränken
    Nebenbei ist UTM.app eine brauchbare Wahl, um Discord mithilfe der Sandbox auf OS-Ebene zu isolieren

  • Solche Vorfälle verstärken letztlich nur das Bild „chinesische Software/Hardware = fehlende Ethik
    Es wirkt, als würde man vor nichts haltmachen, um an Nutzerdaten zu kommen

  • Die Situation fühlt sich unerquicklich an
    Immerhin geben sie an, alles zu sammeln
    Das sieht man in der Datenschutzrichtlinie von MuMu Player
    Es ist einfach nur traurig, dass die Welt so geworden ist

    • Der Ausdruck „sonstige Netzwerk-/technische Informationen“ ist so weit gefasst, dass er praktisch alles umfassen kann
    • Dass sogar die Ausgabe von ps aux gesammelt wird, steht dort allerdings nicht ausdrücklich

  • Obwohl macOS als datenschutzorientiert gilt, überrascht es, dass so etwas immer noch erlaubt ist
    Wenn App-Sandboxing optional ist, hat es keinen wirklichen Sinn

    • macOS ist nicht auf Datenschutz, sondern auf Marketing ausgerichtet
      Die Priorität lautet: „Lässt sich diese Funktion gut vermarkten?“
    • Kaum jemand würde macOS ein datenschutzorientiertes OS nennen
      Vielleicht iOS, aber nicht macOS

  • Jedes Mal, wenn ich ein von NetEase entwickeltes Mobile Game installiere, habe ich ein ungutes Gefühl
    Besonders bei der mobilen Version von Dead by Daylight war das so
    Persona 5X ist zwar kein Werk von NetEase, fühlt sich aber trotzdem unangenehm an
    Da es Android ist, hoffe ich, dass die Datensammlung eingeschränkt wird, frage mich aber, ob es eine Methode für vollständige Isolation gibt

    • Als Ratschlag kam, sicherheitsorientierte Betriebssysteme wie GrapheneOS oder Calyx in Betracht zu ziehen
    • Es gibt auch die Meinung, man solle sich nicht zu viele Sorgen machen und das Spiel einfach genießen

  • Ich finde, die Leute, die solche Spyware bauen, sollten mindestens 10 Jahre Gefängnis bekommen
    Auch die beteiligten CEOs sollten Verantwortung tragen

  • Früher nutzten alle persönliche Firewalls wie „Little Snitch“, sodass man solche Aktivitäten direkt sehen konnte
    Heute fragt man sich, ob den Sicherheitsfunktionen des OS nicht zu blind vertraut wird