mac app store 沙箱能否限制微信 qq 的骚操作

2021-02-28 04:36:08 +08:00
 dvbuzhidao1
我们已得知 Windows 端上的 qq 微信有各种骚操作(扫目录 browser 相关文件等等)。

mac app store 据说有沙箱保护,有懂 mac 开发的同学能讲讲这个沙箱能保护些啥,不能保护啥?能防住腾讯在 pc 端的骚操作吗?

比如 MAS 版的网易云音乐 下载音乐,并没有经过我允许就能直接写入目录?
4115 次点击
所在节点    macOS
15 条回复
dingwen07
2021-02-28 05:56:14 +08:00
应该有个文件访问权限,关掉之后只能访问自己的数据
spacedebris
2021-02-28 06:12:20 +08:00
网易云下载音乐只能写入 /username/music 下,这个是音乐类 app 特性,可以在这里找到 https://developer.apple.com/documentation/security/app_sandbox#overview

系统中的 file access 管理就是这样,限定访问指定文件夹,要求 acess 的时候会弹框要求确认
[img]https://p.sda1.dev/1/549d3f68a6974b691322a4975d1c4023/QQ20210228-060845@2x.png[/img]
dvbuzhidao1
2021-02-28 12:09:26 +08:00
@spacedebris 谢谢专业的回复,那截图 api 呢?商店版 qq 微信都带截图功能 岂不是可以随意截我屏幕了。
twelvechen
2021-02-28 12:34:39 +08:00
@dvbuzhidao1 截图也需要权限,安全性与隐私里的屏幕录制
spacedebris
2021-02-28 13:01:24 +08:00
@dvbuzhidao1 如 twelvechen 所说,截图也会有权限,这个图片里面的设置除 file access 之外还有很多权限可以设置,如屏幕录制,摄像头麦克风,自动化等等。

唯一的问题是一旦给予一次权限后,会默认一直打开,你不来这个页面手动关掉的话理论上 qq 确实可以随意截你的图,当然你也可以每次需要用的时候打开权限,用完后马上关掉。
360511404
2021-02-28 14:30:31 +08:00
其实给 QQ 或者微信开了录屏权限的 Mac 用户,已经沦陷了
因为截图这个功能是个单独的 app,集成在 bundle 中作为启动项,无论你开不开 QQ 或者微信,它都是开机启动,然后做骚操作
装上 QQ 微信之后,第一件事就是先把捆的删了
dvbuzhidao1
2021-02-28 14:38:44 +08:00
@360511404 对的,自己用快捷键截图就好了
360511404
2021-02-28 14:49:05 +08:00
只要牢记国产软件都一样的性格就行了
(这里不是崇洋媚外,国外软件也会如此,但是可能会被骂惨,只不过国内用户不在乎,小白多,所以厂商肆无忌惮)
举个简单的例子
Mac 的沙盒文件权限是默认可以读取用户选择的文件
同样是文档处理,如果是 Office,选择文件就会遵守这个规则
但是还算国产良心的 wps,在选择文件的时候,其实申请的是目录权限,即使你就要打开单个文件,它也申请的目录权限,能产生这样的结果,不是不小心,而是故意的,用户以为授予了文件访问权限,其实是把整个目录交给了 wps
就是这些不起眼的小操作,就能渐渐掌握用户的图谱,分析分析文件名,分析分析内容,这都是钱啊
这都算良心的
Jirajine
2021-02-28 15:25:01 +08:00
@360511404 这个是 mac 自己的问题,选择打开一个文件应该传这个文件的 fd 或者用类似 content provider 的机制,而不是直接给路径。
桌面端安全的历史遗留包袱太重,无论哪个系统都很难有真正靠谱妥善的沙箱机制。
spacedebris
2021-02-28 15:29:53 +08:00
@Jirajine 感觉加个启动项请求权限和每次给权限的时候加一个“仅此一次”就好了
360511404
2021-02-28 15:37:21 +08:00
@Jirajine 这不是 mac 问题,是大环境问题
如果直接获取整盘权限,用户不排斥的话, 他们也会这么做,比如盗版软件破解程序
mac 有引用路径,看不到真实路径,不过哪个厂商愿意自废手脚
alazysun
2021-02-28 15:38:41 +08:00
我没有开权限。然后把 qq 的 jietu.exe 拉黑禁止启动了。
360511404
2021-02-28 15:40:25 +08:00
@Jirajine
厂商想做的事,他们要什么,用户就要给什么
而不是用户选什么,他们得到什么
这个在 iOS 的选图上很好体现,是我要你的相册,然后我来选,而不是你要给我什么图片
dvbuzhidao1
2021-02-28 19:07:30 +08:00
@360511404 那其实默认应该是没有文件读取权限的,这点还是让人放心
kangzai50136
2021-03-01 09:01:42 +08:00
win 上我都直接上虚拟机了。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/756868

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX