Strana cartella remotedesktop in usr / local - sicuro?

Naviga le tue risposte
14

Mentre eseguivo la pulizia dei vecchi file sul mio Mac (macOS 10.12.4, aggiornato qualche giorno fa) ho appena scoperto un file strano su cui non sono riuscito a trovare alcuna informazione.

In usr/local , c'è una cartella chiamata remotedesktop con all'interno un file RemoteDesktopChangeClientSettings.pkg . 

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Pur sapendo che i client desktop remoti hanno molti casi di utilizzo legittimi, sono un po 'preoccupato da dove proviene, dal momento che non ne ho mai usato nessuno su questa macchina.

Questo file è una parte normale del sistema operativo o un file del venditore che è stato inserito lì? Dovrei provare ad aprirlo?

    
posta Sven 09.04.2017 - 18:27
fonte

3 risposte

13

Per determinare l'origine hai diversi strumenti a portata di mano:

  • Firma del codice. Controlla la firma del codice dell'app / pkg: 

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg

    Questo produce quanto segue: 

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
Format=installer package bundle
CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Hash choices=sha1
CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Signature size=4072
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Info.plist entries=24
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=21
Internal requirements count=1 size=96

    Sembra legittimo e (confrontandolo con altre app) dalla stessa Apple. Se l'app / pkg è stata firmata da un'altra società, almeno una delle linee di autorità mostrerebbe un altro fornitore / sviluppatore.

  • Controlla i file della ricevuta: 

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"

    che probabilmente darà: 

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches

    Controlla il file plist corrispondente e otterrai il pacchetto di installazione: RemoteDesktopClient 3.9.2. Sembra anche legittimo Apple. Ora puoi lsbom ... del file. Vedi man lsbom .

    Una seconda cartella Receipts con boms / plists non Apple si trova nella cartella / Library!

Ci sono probabilmente altri metodi per verificare se il file è legit o no che cercherò di aggiungere in seguito.

    
risposta data 09.04.2017 - 19:32
fonte
1

Vedo anche un pacchetto /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg sul mio MacBook Pro con macOS 10.13.1 (High Sierra). 

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Ho fatto l'upgrade ad High Sierra il 14 novembre.

Controllando la firma usando pkgutil, vedo che il pacchetto è stato firmato da un certificato non attendibile: 

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Nel tentativo di aprire il pacchetto, vedo questo avviso:

QuandocliccosulpulsanteMostracertificato,vedocheilcertificatoèscaduto:

Quindi, probabilmente non è consigliabile installare questa versione del pacchetto RemoteDesktopChangeClientSettings.pkg: -)

    
risposta data 15.12.2017 - 01:17
fonte
0

È sicuramente un componente Apple. È rimasto anche dopo aver provato a disinstallare Remote Desktop.app, quindi suppongo che sia qualcosa che il sistema operativo potrebbe aver installato.

Ho archiviato un problema con Apple Bugs dal momento che / usr / local è pensato per essere sotto il controllo dell'utente e non dovrebbe esserci alcun file OS installato lì.

Ho cancellato la mia cartella / usr / local / remotedesktop visto che è brutto averla lì, ma potrebbe in qualche modo violare il desktop remoto, non è sicuro. Sperare che il prossimo aggiornamento del sistema operativo possa risolvere il problema e non mettere più file in / usr / local.

    
risposta data 05.06.2017 - 00:10
fonte

Leggi altre domande sui tag

Estensione Safari per sbarazzarsi dei link di reindirizzamento di Google nei risultati di ricerca? Strumenti per comprimere e crittografare i file