O que o LockDown Browser realmente vê no seu Mac? (Auditoria 2026)
O que o LDB vê (sozinho, sem Monitor)
Com o Respondus Monitor desabilitado, o LDB é puramente um wrapper de modo quiosque ao redor da interface da prova. Acessa:
- Conteúdo da janela ativa da prova - necessário para renderizar a prova; são os mesmos dados que o Safari teria se a prova rodasse numa aba normal.
- Lista de processos em execução - enumerada via
NSWorkspace.runningApplications+sysctl kern.proc. Usada para imposição de lista negra (encerrar daemons de compartilhamento de tela, etc.). O LDB vê nomes de processos e PIDs; não o conteúdo desses processos. - Identificadores do sistema - hostname, versão do macOS, UUID de hardware, navegador padrão, idioma de instalação. Telemetria padrão do sistema, enviada à Respondus uma vez por sessão.
- Endpoints de rede - o LDB se conecta a
*.respondus.compara configuração + telemetria, e aos endpoints do seu LMS para a prova em si. - Capturas periódicas de tela - a imposição do modo quiosque lê a tela em intervalos para detectar tentativas de troca de janela. Essas capturas não são retidas nem enviadas pelo LDB sozinho - apenas pelo Monitor.
O que o Respondus Monitor adiciona
Quando o Monitor está habilitado (flag controlada pelo professor no Respondus Dashboard):
- Stream da webcam - capturado continuamente durante a prova, codificado, enviado à Respondus.
- Áudio do microfone - capturado continuamente, codificado, enviado.
- Capturas periódicas de tela - igual ao modo quiosque mas enviadas para revisão do professor.
- Foto de ID pré-prova - uma única foto sua segurando o documento de aluno.
- Vídeo de varredura do ambiente - vídeo curto com você girando a câmera ao redor do ambiente.
O que o LDB NÃO vê
Documentado (segundo a política de privacidade da Respondus + observado nos testes do LDBypass):
- Pasta Documentos - não acessível sem Acesso Total ao Disco (raramente solicitado).
- Conteúdo do iCloud Drive - idem.
- Backups Time Machine - idem.
- Histórico do Safari, autopreenchimento, senhas - não acessíveis sem Acesso Total ao Disco.
- Documentos abertos de outros apps - sandboxing bloqueia leituras entre apps.
- Mail, Mensagens, Fotos - protegidos por TCC; o LDB não solicita acesso.
- Chaves, certificados, dados biométricos - fora do sandbox do LDB.
- Arquivos fora da janela da prova durante a gravação - o Monitor grava a tela visivelmente, não o sistema de arquivos. Se Word está aberto em segundo plano, a gravação mostra a janela do Word se ela está na tela, mas o LDB não lê o documento em memória do Word nem o arquivo salvo.
Capacidade vs. comportamento - a lacuna
Algumas permissões que o LDB solicita concedem capacidades mais amplas do que o LDB realmente usa:
- Permissão de Gravação de Tela concede a habilidade de gravar qualquer conteúdo de tela, em qualquer janela. Comportamento observado do LDB: grava frames da tela para imposição de quiosque + Monitor; não mira janelas específicas.
- Permissão de Câmera concede acesso contínuo à câmera. Comportamento do LDB: só adquire quando o Monitor está ativo.
- Permissão de Acessibilidade (rara) concede monitoramento de teclas + injeção de eventos sintéticos. Comportamento do LDB: detecta teclas de fuga do quiosque; não registra todas as entradas.
- Acesso Total ao Disco (raro) concede leitura de locais protegidos do sistema de arquivos. Comportamento do LDB (em configs institucionais que exigem): escaneia nomes de arquivo específicos; não lê conteúdo.
A discrepância entre capacidade (o que a permissão permite) e comportamento (o que o LDB faz com ela) é uma questão de confiança nos controles da Respondus. A política de privacidade deles compromete o comportamento mais estreito; comportamento observável bate.
Como verificar você mesmo no Mac
- Endpoints de rede:
nettop -p $(pgrep "LockDown Browser")durante a prova (rode antes da prova para configurar o log; o LDB bloqueia o Terminal durante a prova em si). - Leituras de sistema de arquivos:
fs_usage -w -f filesys "LockDown Browser"mostra cada arquivo que o LDB toca. - Gravação de Tela ativa: ponto laranja na barra de menu do macOS quando o LDB está gravando.
- Webcam / microfone ativos: ícone verde de câmera + ícone laranja de microfone na barra de menu quando o Monitor está gravando.
O que muda por versão do macOS
O modelo de permissão TCC ficou mais rígido em Big Sur → Monterey → Ventura → Sonoma → Sequoia. Cada release adicionou controles mais granulares. As permissões solicitadas pelo LDB não mudaram; o que mudou é a capacidade do usuário de vê-las e revogar. O Sequoia 15.3+ especificamente adicionou a re-confirmação de 30 dias da Gravação de Tela que torna visível a concessão da permissão.
Perguntas frequentes
O LDB pode ler o que estou digitando em outro app?
Sem permissão de Acessibilidade (rara), não. Com permissão de Acessibilidade, tecnicamente sim - mas o comportamento observado do LDB é detectar apenas teclas de fuga do quiosque, não registrar todas as entradas. Verifique revisando suas permissões TCC em Ajustes do Sistema → Privacidade e Segurança.
O Monitor vê minha tela inteira ou apenas a janela da prova?
O Monitor grava o que está visível na tela - incluindo qualquer janela não explicitamente oculta. Se você tem Slack aberto em segundo plano, Slack aparece na gravação. A gravação é baseada em frames de tela, não em sistema de arquivos.
O LDB pode ler minhas respostas da prova se meu LMS for comprometido?
O LDB exibe suas respostas conforme você digita; se servidores da Respondus fossem comprometidos, a gravação (que mostra a tela incluindo suas respostas) seria exposta. Esse é um risco genérico de dados SaaS, não específico do LDB. Nenhuma violação pública documentada.
Ouvi que o LDB escaneia meu HD inteiro - é verdade?
Não, a menos que sua configuração institucional específica exija Acesso Total ao Disco (raro). Mesmo com ATD, o comportamento observado é escaneamento baseado em nomes de arquivo para arquivos proibidos específicos, não leitura de conteúdo.