ova
Torna al blog
·10 min di lettura·productdevbook

Come capire se un'app Mac ti spia tramite la rete

Una guida concreta per individuare le app Mac che chiamano casa più del dovuto — e i segnali che distinguono il rumore dalla vera sorveglianza.

  • Privacy
  • Security
  • macOS
  • Network monitoring

Installi un'app di registrazione schermo, le dai i permessi che chiede, e una settimana dopo noti che sta trasferendo qualche centinaio di kilobyte ogni notte alle 3. Ti sta spiando? Probabilmente no. Sta facendo qualcosa per cui non ti sei iscritto? Forse. La domanda se un'app Mac stia spiando sulla rete ha una risposta vera, e non è "sì" o "no" — è "cosa sta davvero lasciando la macchina, dove sta andando, e corrisponde a quello che l'app ti aveva detto che avrebbe fatto".

Questo è un articolo tecnico, non paranoico. Gran parte delle app va bene. Alcune app sono rumorose. Un numero molto piccolo fa cose che non dovrebbero. L'obiettivo è distinguerle con prove piuttosto che con sensazioni.

Telemetria vs. sorveglianza — non sono la stessa cosa

Due cose molto diverse vengono spesso messe insieme:

  • Telemetria. L'app riporta dati di uso anonimoidi: conteggi di feature, log di crash, info di installazione, a volte demografia grossolana. Di solito dichiarata nella privacy policy. Spesso opt-out. In genere non malevola, anche quando è fastidiosa.
  • Sorveglianza. L'app esfiltra contenuto — quello che hai digitato, quali file hai aperto, cosa c'è sul tuo schermo, i tuoi contatti, l'input della tua telecamera — a un server, senza dichiarazione o con dichiarazione deliberatamente vaga. È raro nelle app mainstream del Mac App Store ma succede, soprattutto in app gratuite con monetizzazione poco chiara.

Un monitor della larghezza di banda può mostrarti il volume e il timing dell'attività di rete. Non può dirti il contenuto di una connessione cifrata. Il disallineamento tra comportamento dichiarato e comportamento osservato è di solito sufficiente per segnalare un'app Mac che spia sulla rete — o, più spesso, per confermare che ciò che sembrava sospetto è in realtà banale.

Segni di un'app Mac che spia sulla rete

Ecco i pattern che meritano un'occhiata più ravvicinata.

Caricamenti fuori orario

Un'app che carica dati alle 3 di notte mentre dormi, quando nessuna azione utente potrebbe averli scatenati, merita una domanda. Esistono motivi legittimi (batching di analytics, caricamenti di log d'errore, sync di contenuti), ma un registratore di schermo che carica 80 MB alle 3 di notte mentre la funzione di registrazione non è in uso vale almeno la pena chiedere.

Riconnessioni persistenti

Un'app che mantiene una connessione di lunga durata o si riconnette ogni pochi secondi sta facendo comunicazione live. Le app di chat e gli strumenti di collaborazione (Slack, Discord, Figma) ne hanno bisogno. Un lettore PDF no.

Caricamenti lenti sostenuti

Un rivolo di 5-20 KB/s costantemente è un'impronta digitale di telemetria streaming. Se sono battiture, frame schermo, o solo eventi di analytics dipende dall'app. Vale la pena sapere cosa c'è dietro.

Connessioni a molti host distinti

Gran parte delle app legittime parla con un piccolo numero di backend — i propri server, magari un provider di analytics, magari un CDN. Un'app che parla con 30 host distinti o sta usando tanti SDK di terze parti (tipico per app supportate da pubblicità) o sta facendo qualcosa di più interessante.

Destinazioni cifrate verso range IP sconosciuti

Quasi tutte le app moderne usano HTTPS, quindi la cifratura in sé non è sospetta. Ciò che è interessante è quali host. Un'app che parla col proprio dominio più un CDN Cloudflare e un endpoint di analytics Apple è normale. Un'app che parla con un nudo indirizzo IP in un paese non legato allo sviluppatore è almeno curiosa.

Cosa puoi davvero vedere, e cosa no

Un monitor della larghezza di banda per app su macOS ti dà:

  • Nome del processo (e processi ausiliari, quando attribuiti correttamente).
  • Byte inviati e ricevuti nel tempo.
  • Rate live, con cronologia.
  • Spesso i conteggi delle connessioni.

Non ti dà:

  • Il contenuto delle connessioni cifrate.
  • Il dominio o IP di destinazione senza strumenti aggiuntivi.
  • Se l'app sta leggendo il microfono, lo schermo o le battiture.

Per il lato destinazione, lsof -i -n -P mostra le connessioni attualmente aperte per processo. Per la risoluzione di domini, puoi abbinare quello con un log DNS o uno strumento come Little Snitch. Per il contenuto, ti servirebbe un proxy man-in-the-middle con certificati root installati, che è un setup più invasivo di quanto la maggior parte delle persone voglia.

Lo stack realistico per la maggior parte degli utenti è:

  1. Un monitor della larghezza di banda nella barra dei menu per quando e quanto.
  2. I pannelli dei permessi privacy di macOS per cosa l'app può accedere.
  3. lsof occasionale per con chi sta parlando.

Quello basta a catturare quasi tutto ciò che conta.

Una routine di indagine pratica

Se il comportamento di un'app ti rende sospettoso:

1. Ottieni una baseline

Guarda l'app per una settimana senza intervento. Qual è il suo pattern normale di upload? Quando trasferisce dati? Quanto al giorno? Senza una baseline, ogni picco sembra sospetto. Con una, solo le anomalie reali emergono.

2. Controlla i permessi privacy

Impostazioni di Sistema → Privacy e Sicurezza. Guarda:

  • Accesso Completo al Disco (molto potente — gran parte delle app non ne ha bisogno).
  • Registrazione Schermo.
  • Accessibilità.
  • Camera, Microfono.
  • File e Cartelle.

Incrocia: lo scopo dichiarato di quest'app richiede questi permessi? Un'app per appunti non ha bisogno di Registrazione Schermo. Una utility per tastiera non ha bisogno di Accesso Completo al Disco.

3. Controlla le destinazioni di rete

Esegui lsof -i -n -P | grep AppName mentre l'app sta facendo qualunque cosa ti abbia incuriosito. Guarda gli host remoti. Fai un reverse DNS o WHOIS lookup su qualsiasi sembri insolito.

4. Leggi la privacy policy

Sì, è tedioso. Ma la domanda rilevante è "la policy dichiara cosa stai osservando". Se l'app carica telemetria quotidiana e la policy dice "raccogliamo dati di uso anonimi", è coerente. Se l'app carica telemetria quotidiana e la policy non dice nulla sulla raccolta dati, c'è un disallineamento.

Guardare questo sulla tua macchina

ova è un monitor della larghezza di banda nella barra dei menu che mostra rate live per app e timeline storiche. Per il tipo di indagine in questo articolo, ciò che conta è:

  • Attribuzione per app che gestisce correttamente i processi ausiliari (così un Chrome Helper non è la sua riga).
  • Cronologia che puoi scorrere, così "cosa ha fatto quest'app alle 3 di notte di martedì scorso" ha una risposta.
  • Dati solo locali, così non stai condividendo proprio le informazioni che cerchi di proteggere consegnandole a un servizio di monitoring cloud.
Solo locale per design
ova memorizza i dati dei campioni per app sul disco localmente. Niente telemetria, niente sync cloud, niente account. Il punto di monitorare le preoccupazioni di privacy è minato se lo strumento di monitoraggio stesso carica ciò che vede.

Cos'è normale — qualche esempio

Alcune app che sembrano sospette se non le conosci:

  • mdworker_shared. Indicizzatore Spotlight di macOS. Lavoro in background, non pesante in rete.
  • trustd. Valida i certificati SSL. Parla coi server Apple. Normale.
  • apsd. Apple Push Service. Mantiene una connessione di lunga durata con Apple. Normale.
  • nsurlsessiond. Schedulatore di task di rete in background. Molte app accodano upload/download attraverso questo; appare come worker, non come app originale.
  • syncdefaultsd. Sincronizza le preferenze via iCloud. Basso volume, frequente.
  • Dropbox / Google Drive / OneDrive. Client di sync. Alto volume, non sospetto.
  • Slack Helper (Renderer). Processi ausiliari di Slack. Molti di loro; insieme rappresentano il traffico di Slack.

Se non riconosci un processo, cerca il nome esatto tra virgolette — "process_name" macOS — e di solito troverai una risposta chiara in cinque minuti.

Vedi cosa fanno davvero le tue app online

ova è un monitor della larghezza di banda nella barra dei menu visibile a colpo d'occhio — locale, firmato, ~3 MB. Niente account, niente cloud.

Scarica per macOS

Quando qualcosa sembra genuinamente sbagliato

Hai osservato un'app per una settimana, il pattern non corrisponde al suo scopo dichiarato, la privacy policy non menziona ciò che stai vedendo, e lsof mostra connessioni a host che non hanno senso. E adesso?

In ordine:

  1. Esci dall'app e rimuovila. Trascinare nel Cestino non basta sempre — molte app installano LaunchAgent o LaunchDaemon che persistono. Strumenti come AppCleaner aiutano; l'ispezione manuale di ~/Library/LaunchAgents e /Library/LaunchAgents è più approfondita.
  2. Revoca qualsiasi permesso privacy che aveva.
  3. Decidi se vuoi segnalarla. Apple prende le segnalazioni del Mac App Store sul serio. L'Apple Feedback Assistant e il flusso di segnalazione App Store sono i canali giusti.
  4. Non cercare di "bloccarla" a livello firewall su una macchina dove continuerai a usare l'app. Quello è il caso d'uso del firewall (territorio di Little Snitch). Un monitor è per la visibilità; se vuoi bloccare, usa uno strumento di blocco. ova è un monitor, non un firewall.

In conclusione

Gran parte delle app va bene. Alcune sono rumorose. Un piccolo numero attraversa linee che non dovrebbe. Individuare un'app Mac che spia sulla rete non è paranoia — è igiene. Osserva la tua macchina per una settimana, sviluppa una baseline, e l'anormale emerge senza sforzo.

Installa ova, lascialo girare in silenzio, e la prossima volta che un'app sembra sbagliata avrai dati invece di un'intuizione.