V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 1936 days ago, the information mentioned may be changed or developed.
前几天爆出 qq 会扫描 chrome 的浏览记录,假如在 mac appstore 下载的 qq,有没有读取其他 app 的权限呢?有没有 mac 的开发者科普一下沙盒对 app 的限制有多大。
 |
1
mgrddsj Jan 17, 2021
爆出来说 QQ 扫硬盘只是 Windows 版而已。Mac App Store 上面下载的软件权限严得很,应该是不可能读取到除了自己沙盒外的文件的。
|
 |
2
lostberryzz Jan 17, 2021  1
系统偏好设置 -> 安全性与隐私 -> 隐私 -> 完全磁盘访问权限 /文件和文件夹
目前看来桌面端权限控制最好的还是 macOS |
 |
3
MasterCai Jan 17, 2021
那自己从官网下的版本是不是存在这个问题呢,MAS 版本有点残废
@lostberryzz 这两个选项下都没有看到 QQ 啊,是不是意味着 QQ 就没有这样的权限访问我的其他文件夹呢 |
 |
4
Jirajine Jan 17, 2021 via Android
@MasterCai 也可能是 QQ 申请了类似于“完全访问”或“兼容模式”,即可以不受沙盒限制访问所有当前用户有权限访问的文件系统。
|
 |
5
ysc3839 Jan 17, 2021 via Android 1
没记错的话 macOS 的沙盒只对商店里的 app 有效,别的地方下载的不受限制。
可以去下载一些文件管理或者终端软件试试。 |
 |
6
aqqwiyth Jan 17, 2021
10.15 已经有这个权限了.APP 读取任意目录都要授权
|
 |
7
ItzhacLea Jan 17, 2021 6
建议直接上 HIPS,目前跑了这么久,暂时没看到 QQ 会访问不属于自己的文件
 这是拿微信发送图片手动触发的,如果你怀疑小龙监控了你,那就监控回去:  |
 |
8
bigbyto OP @lostberryzz 看来在 mac appstore 下载的暂时还是安全的
|
 |
10
Cavolo Jan 17, 2021 via iPhone 1
微信不管非 mas 版功能多丰富(小程序),没有上架 mas 的我宁愿用功能缺失的 mas 版
|
|
12
ItzhacLea Jan 17, 2021 1
@dioxide 是 F-Secure 的,目前还在 beta 测试中。https://beta.f-secure.com/welcome/
如果你的系统还是 Catalina,那么还有同类软件: https://www.oneperiodic.com/products/handsoff/ |
 |
13
SoloCompany Jan 17, 2021
想什么呢
隐私限制的磁盘权限当然不仅仅是对 MAS 的应用有效, 甚至包括命令行 所以你需要在隐私设置里面给 iTerm 授权后才能正常的使用 shell 来访问 FS |
|
14
SoloCompany Jan 17, 2021
当然如果 QQ 让你装个 kext 你也点 yes 并且输入帐号密码的话, 那谁也无法阻挡你了
|
|
15
ItzhacLea Jan 17, 2021
@SoloCompany 话是这么说没错,不过有例外。只需要简单的一个 drag and drop,shell 就可以直接访问受保护的文件夹了。NSOpenPanel 也可以
Undocumented Catalina file access change: lapcatsoftware.com/articles/macl.html |
 |
16
Lemeng Jan 17, 2021 1
我只能说,win 对于权限,几乎是奢求,装好 exe,几乎裸奔在开发者面前。看他想不想看
|
|
17
SoloCompany Jan 17, 2021
@ItzhacLea #15 DnD 和 Open Dialog 难道不是正常交互吗, 这和浏览器访问文件有啥不同吗
|
|
18
ItzhacLea Jan 17, 2021 1
@SoloCompany 问题在于 com.apple.macl 受到 SIP 的保护,而且是 presist 在 FS 里的。只要我能骗你一次用 NSOpenPanel 打开 $HOME,接下来都不会受到 TCC 的控制
|
 |
20
azhi2007 Jan 17, 2021
已经注销一个皇冠的 QQ,不用 QQ 了
|
 |
21
Hackerchai Jan 18, 2021 via Android
所以非 MAS 应用到底有没有磁盘访问的限制
|
 |
22
MrKrabs Jan 18, 2021
命令行都有限制,你们是不是没用过 mac
|
|
23
ysc3839 Jan 18, 2021 4
@lostberryzz @aqqwiyth @SoloCompany @ItzhacLea @Hackerchai @MrKrabs
自己在虚拟机中测试了一下 macOS 10.15.7 (19H2) 的情况。测试的软件是 iTerm2,从 iTerm2 官网下载的,非商店版。 结论是只有桌面、下载等部分文件夹有限制,其他地方可以随意读取,未测试写入情况。   某软件的配置文件是不需要授权就能读到的。   |
 |
24
neoblackcap Jan 18, 2021
@Lemeng windows 10 也有沙盒,不过那是属于高级功能,家庭版本不带。专业版直接快速开一个虚拟机,如果你觉得隐私很重要,完全可以用这个功能
|
 |
25
PeakFish Jan 18, 2021
我老感觉 我的电脑被人控制了,大神们 能怎么排查吗? 有没有 能查看 本地网络 传输什么信息的 软件,运行的可疑程序,端口什么的。macOS 。
|
 |
26
systemcall Jan 18, 2021
@neoblackcap
专业版还有 Windows Defend 应用程序高级防护,可惜只能给 Edge 用。使用这个功能,有点像是虚拟机的无缝模式。别的应用也想用,得再给 ms 打钱 |
 |
27
janxin Jan 18, 2021
这就是建议为什么从 app store 下载应用的原因
|
 |
28
Mitt Jan 18, 2021 1
https://developer.apple.com/library/archive/documentation/Security/Conceptual/AppSandboxDesignGuide/AboutAppSandbox/AboutAppSandbox.html
关于 Mac 软件的安全性和文件权限具体可以看这个 @ysc3839 #23 举的例子是因为 iterm2 不属于沙盒软件,MAS 的软件必须开启沙盒,所以要确保 99%的安全性最简单的方法就是下载 MAS 版的软件,或者在监视器里看一下确保软件是运行在沙盒里的 |
 |
30
Licsber Jan 18, 2021
t/664415
早就说了( 得禁止所有权限 要权限得白名单 |
|
31
Licsber Jan 18, 2021
|
Select Language