¿Qué es el grupo access_bpf?

27

¿Alguien sabe qué es / hace el grupo "access_bpf"? Lo noté cuando entré en Preferencias> Usuarios y grupos.

He buscado y descubrí que tiene algo que ver con Wireshark, sin embargo, no he instalado el programa en mi Mac, así que estoy muy seguro de cómo se agregó el grupo.

wireshark Andrés
fuente
2
buena búsqueda :) el Wireshark es el que está haciendo ese Grupo. Como no recuerda haberlo instalado, podría haber sido otra persona.
Ruskes

Respuestas:

27

El instalador de Wireshark configura su sistema para que el usuario que realiza la instalación pueda capturar el tráfico de red sin que el programa de captura tenga que ejecutarse como root.

La forma en que hace esto es:

  • crear un access_bpfgrupo;
  • poner al usuario en ese grupo;
  • instale un StartupItem (en versiones anteriores) o un daemon de lanzamiento (en versiones más recientes) que, cuando se inicia el sistema, cambia los permisos de los dispositivos BPF a rw-rw --- y el propietario del grupo de los dispositivos BPF a access_bpf;
  • organiza que el StartupItem / launch daemon se ejecute en ese momento.

Tenga en cuenta, por cierto, que esto también le permite capturar el tráfico con Wireshark (o los programas TShark o dumpcap de Wireshark) sin tener que ejecutarlos como root, también le permite capturar el tráfico con tcpdump sin tener que ejecutarlo como root.


fuente
10

¡El instalador de Wireshark creará el grupo access_bpf! o en tu caso quien sabe :)

Como no recuerda haberlo instalado y no lo utiliza, simplemente retírelo.

Para eliminar Wireshark de su máquina, busque los siguientes archivos en su Mac y elimínelos si existen:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Elimine también el grupo access_bpf

Ruskes
fuente
8

Navegue a Preferencias del sistema -> Usuarios y grupos -> Desbloquéelo como administrador -> abra el campo Grupos en Usuarios -> seleccione y elimine.

O vía terminal con

sudo dscl . -delete /Groups/access_bpf
León
fuente
Sí, pero no respondiste la pregunta, es decir, para qué es ese grupo ... Sin embargo, otros sí.
Motti Shneor
Tienes razón. Debería haber sido un comentario sobre la forma de eliminar, no una respuesta. De todos modos, mi publicación original mencionaba que era una respuesta a un póster anterior, pero se ha editado mucho y dos veces. Sin embargo, haciéndolo más claro.
Leon
1

Esto también podría ser los restos de usted fueron golpeados con un disco java por un ataque de malware.

En este caso, un bot obtendrá acceso de root, creará una cuenta de invitado (quizás bien oculta) y comenzará a mirar sus llaveros.

Si ve mitmproxy bajo certs, llame a apple u otro contacto de soporte de confianza de inmediato.

Me han hablado por teléfono como si nunca hubieran oído hablar del problema.

El hecho es que MacOS no es perfecto. Si aún necesita ayuda, no dude en escribir.

frecuente
fuente
1
Gracias por contestar. El malware a menudo oculta cosas con nombres comunes o esperados. Lo edité un poco. Puede considerar el informe "no han escuchado". Por supuesto, el soporte profesional no le revelará los informes de otras personas, sino que se centrarán solo en su problema. Como ha demostrado, cualquier oración que digan a menudo se publicará públicamente sin el contexto de una conversación más larga, por lo que también intentan atenerse a los hechos sabiendo que podrían estar en la portada de Reddit mañana.
bmike
0

Este grupo también se creará instalando Debookee, una herramienta analizadora de tráfico de red nativa de macOS, que utiliza un Wireshark incorporado.

https://debookee.com

Gummibando
fuente