Sembra che abbia trovato un modo per consentire solo a una singola applicazione di accedere ai file nella memoria USB. Questo script deve essere eseguito con sudo.
#!/bin/bash
# create namespace
unshare -m<<EOF
# mount device in namespace
mount -U "UUID-here" "/home/$SUDO_USER/hidden"
# run unprivileged application
sudo -u "$SUDO_USER" application
# unmount device
umount "/home/$SUDO_USER/hidden"
EOF
Ovviamente l'automounter non deve montare questo dispositivo.
È possibile che altre applicazioni (ad eccezione degli exploit 0day) siano eseguite dall'utente per leggere i file dallo spazio dei nomi?