这是一个创建于 1398 天前的主题,其中的信息可能已经有所发展或是发生改变。
前几天爆出 qq 会扫描 chrome 的浏览记录,假如在 mac appstore 下载的 qq,有没有读取其他 app 的权限呢?有没有 mac 的开发者科普一下沙盒对 app 的限制有多大。
 |
1
mgrddsj 2021-01-17 19:52:37 +08:00
爆出来说 QQ 扫硬盘只是 Windows 版而已。Mac App Store 上面下载的软件权限严得很,应该是不可能读取到除了自己沙盒外的文件的。
|
 |
2
lostberryzz 2021-01-17 20:05:50 +08:00  1
系统偏好设置 -> 安全性与隐私 -> 隐私 -> 完全磁盘访问权限 /文件和文件夹
目前看来桌面端权限控制最好的还是 macOS |
 |
3
MasterCai 2021-01-17 20:17:45 +08:00
那自己从官网下的版本是不是存在这个问题呢,MAS 版本有点残废
@lostberryzz 这两个选项下都没有看到 QQ 啊,是不是意味着 QQ 就没有这样的权限访问我的其他文件夹呢 |
 |
4
Jirajine 2021-01-17 20:22:54 +08:00 via Android
@MasterCai 也可能是 QQ 申请了类似于“完全访问”或“兼容模式”,即可以不受沙盒限制访问所有当前用户有权限访问的文件系统。
|
 |
5
ysc3839 2021-01-17 20:25:23 +08:00 via Android 1
没记错的话 macOS 的沙盒只对商店里的 app 有效,别的地方下载的不受限制。
可以去下载一些文件管理或者终端软件试试。 |
 |
6
aqqwiyth 2021-01-17 20:43:10 +08:00
10.15 已经有这个权限了.APP 读取任意目录都要授权
|
 |
7
ItzhacLea 2021-01-17 20:49:29 +08:00 6
建议直接上 HIPS,目前跑了这么久,暂时没看到 QQ 会访问不属于自己的文件
 这是拿微信发送图片手动触发的,如果你怀疑小龙监控了你,那就监控回去:  |
 |
8
bigbyto OP @lostberryzz 看来在 mac appstore 下载的暂时还是安全的
|
 |
10
Cavolo 2021-01-17 21:32:52 +08:00 via iPhone 1
微信不管非 mas 版功能多丰富(小程序),没有上架 mas 的我宁愿用功能缺失的 mas 版
|
|
12
ItzhacLea 2021-01-17 22:11:21 +08:00 1
@dioxide 是 F-Secure 的,目前还在 beta 测试中。https://beta.f-secure.com/welcome/
如果你的系统还是 Catalina,那么还有同类软件: https://www.oneperiodic.com/products/handsoff/ |
 |
13
SoloCompany 2021-01-17 22:30:58 +08:00
想什么呢
隐私限制的磁盘权限当然不仅仅是对 MAS 的应用有效, 甚至包括命令行 所以你需要在隐私设置里面给 iTerm 授权后才能正常的使用 shell 来访问 FS |
|
14
SoloCompany 2021-01-17 22:31:52 +08:00
当然如果 QQ 让你装个 kext 你也点 yes 并且输入帐号密码的话, 那谁也无法阻挡你了
|
|
15
ItzhacLea 2021-01-17 22:34:24 +08:00
@SoloCompany 话是这么说没错,不过有例外。只需要简单的一个 drag and drop,shell 就可以直接访问受保护的文件夹了。NSOpenPanel 也可以
Undocumented Catalina file access change: lapcatsoftware.com/articles/macl.html |
 |
16
Lemeng 2021-01-17 22:34:49 +08:00 1
我只能说,win 对于权限,几乎是奢求,装好 exe,几乎裸奔在开发者面前。看他想不想看
|
|
17
SoloCompany 2021-01-17 22:36:11 +08:00
@ItzhacLea #15 DnD 和 Open Dialog 难道不是正常交互吗, 这和浏览器访问文件有啥不同吗
|
|
18
ItzhacLea 2021-01-17 22:52:37 +08:00 1
@SoloCompany 问题在于 com.apple.macl 受到 SIP 的保护,而且是 presist 在 FS 里的。只要我能骗你一次用 NSOpenPanel 打开 $HOME,接下来都不会受到 TCC 的控制
|
 |
20
azhi2007 2021-01-17 23:11:04 +08:00
已经注销一个皇冠的 QQ,不用 QQ 了
|
 |
21
Hackerchai 2021-01-18 00:23:13 +08:00 via Android
所以非 MAS 应用到底有没有磁盘访问的限制
|
 |
22
MrKrabs 2021-01-18 01:16:52 +08:00
命令行都有限制,你们是不是没用过 mac
|
|
23
ysc3839 2021-01-18 02:49:58 +08:00 4
@lostberryzz @aqqwiyth @SoloCompany @ItzhacLea @Hackerchai @MrKrabs
自己在虚拟机中测试了一下 macOS 10.15.7 (19H2) 的情况。测试的软件是 iTerm2,从 iTerm2 官网下载的,非商店版。 结论是只有桌面、下载等部分文件夹有限制,其他地方可以随意读取,未测试写入情况。   某软件的配置文件是不需要授权就能读到的。   |
 |
24
neoblackcap 2021-01-18 02:59:51 +08:00
@Lemeng windows 10 也有沙盒,不过那是属于高级功能,家庭版本不带。专业版直接快速开一个虚拟机,如果你觉得隐私很重要,完全可以用这个功能
|
 |
25
PeakFish 2021-01-18 09:48:33 +08:00
我老感觉 我的电脑被人控制了,大神们 能怎么排查吗? 有没有 能查看 本地网络 传输什么信息的 软件,运行的可疑程序,端口什么的。macOS 。
|
 |
26
systemcall 2021-01-18 10:10:30 +08:00
@neoblackcap
专业版还有 Windows Defend 应用程序高级防护,可惜只能给 Edge 用。使用这个功能,有点像是虚拟机的无缝模式。别的应用也想用,得再给 ms 打钱 |
 |
27
janxin 2021-01-18 11:46:55 +08:00
这就是建议为什么从 app store 下载应用的原因
|
 |
28
Mitt 2021-01-18 12:46:34 +08:00 1
https://developer.apple.com/library/archive/documentation/Security/Conceptual/AppSandboxDesignGuide/AboutAppSandbox/AboutAppSandbox.html
关于 Mac 软件的安全性和文件权限具体可以看这个 @ysc3839 #23 举的例子是因为 iterm2 不属于沙盒软件,MAS 的软件必须开启沙盒,所以要确保 99%的安全性最简单的方法就是下载 MAS 版的软件,或者在监视器里看一下确保软件是运行在沙盒里的 |
 |
30
Licsber 2021-01-18 17:53:29 +08:00
t/664415
早就说了( 得禁止所有权限 要权限得白名单 |
|
31
Licsber 2021-01-18 17:54:02 +08:00
|
Select Language