Extraña carpeta de escritorio remoto en usr / local - seguro?

16

Mientras hacía una limpieza de archivos antiguos en mi Mac (macOS 10.12.4, que se actualizó hace unos días), descubrí un archivo extraño sobre el que no pude encontrar ninguna información.

En usr/local, hay una carpeta llamada remotedesktopcon un RemoteDesktopChangeClientSettings.pkgarchivo dentro.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Si bien sé que los clientes de escritorio remoto tienen muchos casos de uso legítimos, estoy un poco preocupado de dónde viene esto, ya que nunca he usado ninguno en esta máquina.

¿Es este archivo una parte normal del sistema operativo o un archivo de proveedor que se colocó allí? ¿Debería intentar abrirlo?

Sven
fuente

Respuestas:

15

Para determinar el origen, tiene varias herramientas a mano:

  • Firma de código. Verifique el código de firma de la aplicación / paquete:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Esto produce lo siguiente:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Parece legítimo y (comparándolo con otras aplicaciones) de Apple. Si la aplicación / paquete fue firmada por otra compañía, al menos una de las líneas de Autoridad mostraría un proveedor / desarrollador diferente.

  • Verifique los archivos de recibo bom:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    que probablemente producirá:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Verifique el archivo plist correspondiente y obtendrá el paquete de instalación: RemoteDesktopClient 3.9.2. Parece también legítimo Apple. Ahora puedes lsbom ...el archivo. Ver man lsbom.

    ¡Una segunda carpeta de Recibos con bombas / listas que no son de Apple está en la carpeta / Biblioteca!


Probablemente hay algunos métodos más para verificar si el archivo es legítimo o no, que intentaré agregar más adelante.

klanomath
fuente
¡Guau, gracias por esta increíble respuesta! No solo estoy aliviado de que el archivo sea legítimo, también estoy feliz de tener algo nuevo que aprender; determinar la fuente de un archivo a veces puede ser realmente importante para mí.
Sven
1

También veo un paquete /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg en mi MacBook Pro con macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Actualicé a High Sierra el 14 de noviembre.

Comprobando la firma usando pkgutil, veo que el paquete ha sido firmado por un certificado no confiable:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Al intentar abrir el paquete, veo esta advertencia: advertencia de certificado inválido

Cuando hago clic en el botón Mostrar certificado, veo que el certificado ha caducado: certificado expirado

Por lo tanto, probablemente no sea recomendable instalar esta versión del paquete RemoteDesktopChangeClientSettings.pkg :-)

Rohan Talip
fuente
0

Definitivamente es un componente de Apple. Permaneció incluso después de que intenté desinstalar mi Remote Desktop.app, así que supongo que es algo que el sistema operativo puede haber instalado.

Archivé un problema con Apple Bugs ya que / usr / local está destinado a estar bajo el control del usuario y nunca debería haber ningún archivo de sistema operativo instalado allí.

Eliminé mi carpeta / usr / local / remotedesktop ya que es feo tenerla allí, pero puede romper el Escritorio remoto de alguna manera, no estoy seguro. Esperando que la próxima actualización del sistema operativo pueda solucionar el problema y no colocar más archivos en / usr / local.

Eduard Rozenberg
fuente
Bienvenido a Ask Different. Abstenerse de agregar comentarios en la sección de respuestas. Esto es solo para respuestas a las preguntas. Si tiene una pregunta diferente, puede hacerla haciendo clic en Hacer pregunta . También puede agregar una recompensa para llamar más la atención sobre esta pregunta una vez que tenga suficiente reputación . Consulte Cómo solicitar para obtener más información sobre cómo hacer una pregunta. - De la opinión
fsb