Pasta remotedesktop estranha em usr / local - seguro?

16

Enquanto fazia uma limpeza de arquivos antigos no meu Mac (macOS 10.12.4, atualizado há alguns dias), acabei de descobrir um arquivo estranho no qual não havia informações.

Em usr/local, há uma pasta chamada remotedesktopcom um RemoteDesktopChangeClientSettings.pkgarquivo dentro.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Embora eu saiba que os clientes de área de trabalho remota têm muitos casos de uso legítimos, estou um pouco preocupado com a origem disso, pois nunca usei nenhum nesta máquina.

Esse arquivo é uma parte regular do sistema operacional ou de um arquivo de fornecedor que foi colocado lá? Devo tentar abri-lo?

Sven
fonte

Respostas:

15

Para determinar a origem, você tem várias ferramentas em mãos:

  • Assinatura de código. Verifique a assinatura do código do aplicativo / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Isso produz o seguinte:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Parece legítimo e (comparando-o com outros aplicativos) da própria Apple. Se o app / pkg foi assinado por outra empresa, pelo menos uma das linhas de Autoridade mostraria um fornecedor / desenvolvedor diferente.

  • Verifique os arquivos bom de recebimento:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    o que provavelmente renderá:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Verifique o arquivo plist correspondente e você obterá o pacote do instalador: RemoteDesktopClient 3.9.2. Parece também legítimo Apple. Agora você pode lsbom ...o arquivo. Veja man lsbom.

    Uma segunda pasta Receipts com bons / plists que não são da Apple está na pasta / Library!


Provavelmente existem mais alguns métodos para verificar se o arquivo é legítimo ou não, que tentarei adicionar mais tarde.

Klanomath
fonte
Uau, obrigado por esta resposta incrível! Não só estou aliviado que o arquivo seja legítimo, como também estou feliz por ter algo novo para aprender - determinar a origem de um arquivo às vezes pode ser realmente importante para mim.
Sven
1

Também vejo um pacote /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg no meu MacBook Pro executando o macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Eu atualizei para High Sierra em 14 de novembro.

Verificando a assinatura usando o pkgutil, vejo que o pacote foi assinado por um certificado não confiável:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Ao tentar abrir o pacote, vejo este aviso: aviso de certificado inválido

Quando clico no botão Mostrar certificado, vejo que o certificado expirou: certificado expirado

Portanto, provavelmente não é aconselhável instalar esta versão do pacote RemoteDesktopChangeClientSettings.pkg :-)

Rohan Talip
fonte
0

É definitivamente um componente da Apple. Ele permaneceu mesmo depois que eu tentei desinstalar o Remote Desktop.app, então acho que é algo que o sistema operacional pode ter instalado.

Eu registrei um problema no Apple Bugs, já que o / usr / local deve estar sob o controle do usuário e nunca deve haver nenhum arquivo do SO instalado lá.

Excluí minha pasta / usr / local / remotedesktop, pois é feia tê-la lá, mas pode interromper a Área de Trabalho Remota de alguma forma, não tenho certeza. Esperando que a próxima atualização do sistema operacional possa corrigir o problema e não colocar mais arquivos em / usr / local.

Eduard Rozenberg
fonte
Bem-vindo ao perguntar diferente. Evite adicionar comentários na seção Resposta. Isto é apenas para respostas às perguntas. Se você tiver uma pergunta diferente, faça-a clicando em Fazer pergunta . Você também pode adicionar uma recompensa para chamar mais atenção para essa pergunta quando tiver reputação suficiente . Consulte Como solicitar mais informações sobre como fazer uma pergunta. - Do comentário
fsb