Strana cartella remotedesktop in usr / local - sicuro?

14

Mentre eseguivo la pulizia dei vecchi file sul mio Mac (macOS 10.12.4, aggiornato qualche giorno fa) ho appena scoperto un file strano su cui non sono riuscito a trovare alcuna informazione.

In usr/local , c'è una cartella chiamata remotedesktop con all'interno un file RemoteDesktopChangeClientSettings.pkg .

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Pur sapendo che i client desktop remoti hanno molti casi di utilizzo legittimi, sono un po 'preoccupato da dove proviene, dal momento che non ne ho mai usato nessuno su questa macchina.

Questo file è una parte normale del sistema operativo o un file del venditore che è stato inserito lì? Dovrei provare ad aprirlo?

    
posta Sven 09.04.2017 - 18:27
fonte

3 risposte

13

Per determinare l'origine hai diversi strumenti a portata di mano:

  • Firma del codice. Controlla la firma del codice dell'app / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Questo produce quanto segue:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Sembra legittimo e (confrontandolo con altre app) dalla stessa Apple. Se l'app / pkg è stata firmata da un'altra società, almeno una delle linee di autorità mostrerebbe un altro fornitore / sviluppatore.

  • Controlla i file della ricevuta:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    che probabilmente darà:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Controlla il file plist corrispondente e otterrai il pacchetto di installazione: RemoteDesktopClient 3.9.2. Sembra anche legittimo Apple. Ora puoi lsbom ... del file. Vedi man lsbom .

    Una seconda cartella Receipts con boms / plists non Apple si trova nella cartella / Library!

Ci sono probabilmente altri metodi per verificare se il file è legit o no che cercherò di aggiungere in seguito.

    
risposta data 09.04.2017 - 19:32
fonte
1

Vedo anche un pacchetto /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg sul mio MacBook Pro con macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Ho fatto l'upgrade ad High Sierra il 14 novembre.

Controllando la firma usando pkgutil, vedo che il pacchetto è stato firmato da un certificato non attendibile:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Nel tentativo di aprire il pacchetto, vedo questo avviso:

QuandocliccosulpulsanteMostracertificato,vedocheilcertificatoèscaduto:

Quindi, probabilmente non è consigliabile installare questa versione del pacchetto RemoteDesktopChangeClientSettings.pkg: -)

    
risposta data 15.12.2017 - 01:17
fonte
0

È sicuramente un componente Apple. È rimasto anche dopo aver provato a disinstallare Remote Desktop.app, quindi suppongo che sia qualcosa che il sistema operativo potrebbe aver installato.

Ho archiviato un problema con Apple Bugs dal momento che / usr / local è pensato per essere sotto il controllo dell'utente e non dovrebbe esserci alcun file OS installato lì.

Ho cancellato la mia cartella / usr / local / remotedesktop visto che è brutto averla lì, ma potrebbe in qualche modo violare il desktop remoto, non è sicuro. Sperare che il prossimo aggiornamento del sistema operativo possa risolvere il problema e non mettere più file in / usr / local.

    
risposta data 05.06.2017 - 00:10
fonte

Leggi altre domande sui tag