ova
Voltar ao blog
·10 min de leitura·productdevbook

Como saber se um app do Mac está te espionando pela rede

Um guia pé no chão para identificar apps do Mac que se comunicam com a casa mais do que deveriam — e os sinais que separam ruído de vigilância de fato.

  • Privacy
  • Security
  • macOS
  • Network monitoring

Você instala um app de gravação de tela, dá as permissões que ele pede, e uma semana depois nota que está transferindo algumas centenas de kilobytes toda noite às 3h. Está te espionando? Provavelmente não. Está fazendo algo para o qual você não topou? Possivelmente. A pergunta sobre se um app no Mac está espionando na rede tem resposta real, e não é "sim" ou "não" — é "o que está saindo da máquina, para onde vai e isso bate com o que o app disse que faria?".

Este é um post técnico, não paranoico. A maior parte dos apps está tudo bem. Alguns apps são tagarelas. Um número muito pequeno faz coisas que não deveria. O objetivo é distinguir com evidência em vez de vibe.

Telemetria vs. vigilância — não são a mesma coisa

Duas coisas muito diferentes frequentemente são misturadas:

  • Telemetria. O app reporta dados de uso quase-anônimos: contagens de feature, logs de crash, info de install, às vezes demografia grosseira. Geralmente divulgado na política de privacidade. Frequentemente opt-out. Geralmente não malicioso, mesmo quando irritante.
  • Vigilância. O app exfiltra conteúdo — o que você digitou, quais arquivos abriu, o que está na sua tela, seus contatos, sua câmera — para um servidor, sem divulgação ou com divulgação deliberadamente vaga. Isso é raro em apps mainstream da Mac App Store mas acontece, especialmente em apps gratuitos com monetização pouco clara.

Um monitor de banda pode te mostrar o volume e o timing da atividade de rede. Não pode te dizer o conteúdo de uma conexão criptografada. O descompasso entre comportamento divulgado e comportamento observado costuma bastar para flagrar um app no Mac espionando na rede — ou, mais frequente, para confirmar que o que parecia suspeito é mundano.

Sinais de um app no Mac espionando na rede

Aqui os padrões que merecem um olhar mais atento.

Uploads fora de horário

Um app que faz upload às 3h quando você dorme, quando nenhuma ação do usuário poderia ter disparado, merece uma pergunta. Algumas razões legítimas existem (batching de analytics, uploads de log de erro, sync de conteúdo), mas um gravador de tela fazendo upload de 80 MB às 3h sem a função de gravação em uso pelo menos vale perguntar.

Reconexões persistentes

Um app que mantém conexão de longa duração ou reconecta a cada poucos segundos está fazendo comunicação ao vivo. Apps de chat e ferramentas de colaboração (Slack, Discord, Figma) precisam disso. Um leitor de PDF não.

Uploads lentos sustentados

Um filete de 5–20 KB/s constante é a digital de telemetria streaming. Se isso é toques de teclado, frames de tela ou só eventos de analytics depende do app. Vale saber o que está por trás.

Conexões para muitos hosts distintos

A maior parte dos apps legítimos fala com um número pequeno de backends — seus próprios servidores, talvez um provedor de analytics, talvez uma CDN. Um app falando com 30 hosts distintos ou está usando muitos SDKs de terceiros (típico para apps suportados por anúncio) ou está fazendo algo mais interessante.

Destinos criptografados para faixas de IP desconhecidas

Quase todos os apps modernos usam HTTPS, então criptografia em si não é suspeita. O que é interessante é quais hosts. Um app que fala com seu próprio domínio mais uma CDN da Cloudflare e um endpoint de analytics da Apple é normal. Um app que fala com um IP cru num país sem relação com o desenvolvedor é pelo menos curioso.

O que você consegue ver, e o que não

Um monitor de banda por app no macOS te dá:

  • Nome do processo (e processos auxiliares, quando atribuídos corretamente).
  • Bytes enviados e recebidos no tempo.
  • Taxa ao vivo, com histórico.
  • Frequentemente as contagens de conexão.

Não te dá:

  • O conteúdo de conexões criptografadas.
  • O domínio ou IP de destino sem ferramentas adicionais.
  • Se o app está lendo seu microfone, tela ou toques de teclado.

Para o lado do destino, lsof -i -n -P mostra conexões abertas no momento por processo. Para resolução de domínio, você combina com um log de DNS ou uma ferramenta como Little Snitch. Para conteúdo, precisaria de proxy man-in-the-middle com certificados raiz instalados, que é um setup mais invasivo do que a maioria quer.

A pilha realista para a maioria dos usuários é:

  1. Um monitor de banda na barra de menu para quando e quanto.
  2. Os painéis de permissões de privacidade do macOS para o que o app pode acessar.
  3. lsof ocasional para com quem está falando.

Isso é o suficiente para pegar quase tudo que importa.

Uma rotina prática de investigação

Se o comportamento de um app te deixa suspeito:

1. Pegue uma linha de base

Observe o app por uma semana sem intervir. Qual é o padrão normal de upload? Quando transfere dados? Quanto por dia? Sem linha de base, cada pico parece suspeito. Com uma, só anomalias reais se destacam.

2. Cheque as permissões de privacidade

Ajustes do Sistema → Privacidade e Segurança. Olhe:

  • Acesso ao Disco Total (muito poderoso — a maioria dos apps não precisa).
  • Gravação de Tela.
  • Acessibilidade.
  • Câmera, Microfone.
  • Arquivos e Pastas.

Cruze: o propósito declarado desse app exige essas permissões? Um app de notas não precisa de Gravação de Tela. Um utilitário de teclado não precisa de Acesso ao Disco Total.

3. Cheque os destinos de rede

Rode lsof -i -n -P | grep NomeDoApp enquanto o app faz o que te deixou curioso. Olhe os hosts remotos. Faça lookup reverso de DNS ou WHOIS em qualquer um que pareça incomum.

4. Leia a política de privacidade

Sim, é tedioso. Mas a pergunta relevante é "a política divulga o que você está observando". Se o app faz upload diário de telemetria e a política diz "coletamos dados de uso anônimos", é consistente. Se o app faz upload diário e a política não diz nada sobre coleta de dados, é descompasso.

Observando isso na sua própria máquina

ova é um monitor de banda na barra de menu que mostra taxas ao vivo por app e linhas do tempo históricas. Para o tipo de investigação neste post, o que importa é:

  • Atribuição por app que lida corretamente com processos auxiliares (para um Chrome Helper não ser linha própria).
  • Histórico que você pode navegar, para que "o que esse app fez às 3h na terça?" tenha resposta.
  • Dados só locais, para você não estar compartilhando justo a informação que está tentando proteger entregando para um serviço de monitoramento na nuvem.
Só local, por design
ova armazena dados de amostra por app em disco localmente. Sem telemetria, sem sync de nuvem, sem conta. O ponto de monitorar preocupações de privacidade é minado se a ferramenta de monitoramento em si faz upload do que vê.

O que é normal — alguns exemplos

Alguns apps que parecem suspeitos se você não os conhece:

  • mdworker_shared. Indexador Spotlight do macOS. Trabalho em segundo plano, não pesado em rede.
  • trustd. Valida certificados SSL. Fala com servidores da Apple. Normal.
  • apsd. Apple Push Service. Mantém conexão de longa duração com a Apple. Normal.
  • nsurlsessiond. Scheduler de tarefas de rede em segundo plano. Muitos apps enfileiram uploads/downloads via isso; aparece como o worker, não como o app original.
  • syncdefaultsd. Sincroniza preferências via iCloud. Volume baixo, frequente.
  • Dropbox / Google Drive / OneDrive. Clientes de sync. Volume alto, não suspeito.
  • Slack Helper (Renderer). Processos auxiliares do Slack. Vários; juntos respondem pelo tráfego do Slack.

Se você não reconhece um processo, busque o nome exato entre aspas — "process_name" macOS — e geralmente acha resposta clara em cinco minutos.

Veja o que seus apps de fato fazem online

ova é um monitor de banda na barra de menu para olhar de relance — local, assinado, ~3 MB. Sem contas, sem nuvem.

Baixar para macOS

Quando algo genuinamente parece errado

Você observou um app por uma semana, o padrão não bate com o propósito declarado, a política de privacidade não menciona o que você está vendo, e lsof mostra conexões para hosts que não fazem sentido. E agora?

Em ordem:

  1. Saia do app e remova. Arrastar para o Lixo nem sempre é o bastante — muitos apps instalam LaunchAgents ou LaunchDaemons que persistem. Ferramentas como AppCleaner ajudam; inspeção manual de ~/Library/LaunchAgents e /Library/LaunchAgents é mais minuciosa.
  2. Revogue qualquer permissão de privacidade que ele tinha.
  3. Decida se quer reportar. A Apple leva relatos da Mac App Store a sério. O Apple Feedback Assistant e o fluxo de relatório da App Store são os canais certos.
  4. Não tente "bloquear" no nível do firewall numa máquina onde você vai continuar usando o app. Esse é o caso de uso de firewall (território Little Snitch). Um monitor é para visibilidade; se quer bloquear, use uma ferramenta de bloqueio. ova é monitor, não firewall.

Encerrando

A maior parte dos apps está tudo bem. Alguns são tagarelas. Um pequeno número cruza linhas que não devia. Flagrar um app no Mac espionando na rede não é paranoia — é higiene. Observe sua máquina por uma semana, desenvolva uma linha de base, e o anormal se destaca sem esforço.

Instale o ova, deixe rodar quieto, e da próxima vez que um app parecer errado você vai ter dados em vez de palpite.