Parece que encontré una manera de permitir que solo una aplicación acceda a los archivos en el almacenamiento USB. Este script debe ejecutarse con sudo.
#!/bin/bash
# create namespace
unshare -m<<EOF
# mount device in namespace
mount -U "UUID-here" "/home/$SUDO_USER/hidden"
# run unprivileged application
sudo -u "$SUDO_USER" application
# unmount device
umount "/home/$SUDO_USER/hidden"
EOF
Obviamente, el montaje automático no debe montar este dispositivo.
¿Es posible que otras aplicaciones (excepto las explotaciones de 0 días) ejecutadas por el usuario lean archivos desde el espacio de nombres?