Weird remotedesktop folder in usr / local - safe?

14

Mientras realizaba una limpieza de archivos antiguos en mi Mac (macOS 10.12.4, después de haberlos actualizado hace unos días), acabo de descubrir un archivo extraño en el que no pude encontrar ninguna información.

En usr/local , hay una carpeta llamada remotedesktop con un archivo RemoteDesktopChangeClientSettings.pkg dentro.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Aunque sé que los clientes de escritorio remoto tienen muchos casos de uso legítimos, estoy un poco preocupado de dónde viene esto ya que nunca he usado ninguno en esta máquina.

¿Este archivo es una parte regular del sistema operativo o un archivo de proveedor que se colocó allí? ¿Debo intentar abrirlo?

    
pregunta Sven 09.04.2017 - 18:27

3 respuestas

13

Para determinar el origen, tienes varias herramientas a mano:

  • Firma de código. Compruebe el código de firma de la aplicación / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Esto produce lo siguiente:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Parece legítimo y (comparándolo con otras aplicaciones) del propio Apple. Si la aplicación / pkg fue firmada por otra compañía, al menos una de las líneas de Autoridad mostraría un proveedor / desarrollador diferente.

  • Verifique los archivos de recibos:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    que probablemente cederá:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Verifique el archivo plist correspondiente y obtendrá el paquete del instalador: RemoteDesktopClient 3.9.2. También parece legítimo Apple. Ahora puedes lsbom ... el archivo. Ver man lsbom .

    ¡Una segunda carpeta de Recibos con boms / plists que no son de Apple está en la carpeta / Library!

Probablemente hay algunos métodos más para verificar si el archivo es legítimo o no, que intentaré agregar más adelante.

    
respondido por el klanomath 09.04.2017 - 19:32
1

También veo un paquete /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg en mi MacBook Pro con macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Me actualicé a High Sierra el 14 de noviembre.

Al verificar la firma usando pkgutil, veo que el paquete ha sido firmado por un certificado no confiable:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Al intentar abrir el paquete, veo esta advertencia:

CuandohagoclicenelbotónMostrarcertificado,veoqueelcertificadohacaducado:

Por lo tanto, probablemente no sea recomendable instalar esta versión del paquete RemoteDesktopChangeClientSettings.pkg :-)

    
respondido por el Rohan Talip 15.12.2017 - 01:17
0

Definitivamente es un componente de Apple. Se mantuvo incluso después de que intenté desinstalar mi Remote Desktop.app, así que supongo que es algo que el sistema operativo puede haber instalado.

Presenté un problema con los errores de Apple ya que / usr / local está destinado a estar bajo el control del usuario y nunca debería haber ningún archivo de SO instalado allí.

Eliminé mi carpeta / usr / local / remotedesktop ya que es feo tenerla allí pero puede romper el Escritorio remoto de alguna manera, no estoy seguro. Esperando que la próxima actualización del sistema operativo solucione el problema y no ponga más archivos en / usr / local.

    
respondido por el Eduard Rozenberg 05.06.2017 - 00:10

Lea otras preguntas en las etiquetas