¿Qué es el grupo access_bpf?

El instalador de Wireshark configura tu sistema para que el usuario que realiza la instalación pueda capturar el tráfico de la red sin que el programa de captura tenga que ejecutarse como root.

La forma en que lo hace es:

• crea un grupo access_bpf ;
• coloca al usuario en ese grupo;
• instale un StartupItem (en versiones anteriores) o un demonio de inicio (en versiones más recientes) que, cuando se inicia el sistema, cambia los permisos de BPF devices a rw-rw --- y el propietario del grupo de los dispositivos BPF a access_bpf ;
• dispone que el demonio StartupItem / launch se ejecute en ese momento.

Tenga en cuenta, BTW, que esto también le permite capturar el tráfico con Wireshark (o los programas TShark o dumpcap de Wireshark) sin tener que ejecutarlos como root, también le permite capturar el tráfico con tcpdump sin tener que ejecutarlo como root.

¡El instalador para Wireshark creará el grupo access_bpf! o en tu caso quien sabe :)

Ya que no recuerda haber instalado y no lo ha utilizado, simplemente elimínelo.

Para eliminar Wireshark de su máquina, busque los siguientes archivos en su Mac y elimínelos si existen:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

También elimine el grupo access_bpf

Vaya a Preferencias del sistema - > Usuarios & Grupos - > Desbloquéalo como administrador - > abra el campo Grupos en Usuarios - > seleccione y elimine.

O vía terminal con

sudo dscl . -delete /Groups/access_bpf