โฟลเดอร์ remotedesktop แปลก ๆ ใน usr / local - ปลอดภัยไหม


16

ขณะทำการล้างไฟล์เก่าบน Mac ของฉัน (macOS 10.12.4 มีการอัพเดทเมื่อไม่กี่วันที่ผ่านมา) ฉันเพิ่งค้นพบไฟล์แปลก ๆ ที่ฉันไม่สามารถหาข้อมูลใด ๆ ได้

ในusr/localมีโฟลเดอร์ที่เรียกว่าremotedesktopมีRemoteDesktopChangeClientSettings.pkgไฟล์อยู่ภายใน

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

ในขณะที่ฉันรู้ว่าไคลเอนต์เดสก์ท็อประยะไกลมีกรณีการใช้งานที่ถูกกฎหมายจำนวนมากฉันค่อนข้างกังวลว่าจะเกิดอะไรขึ้นเนื่องจากฉันไม่เคยใช้เครื่องนี้มาก่อน

ไฟล์นี้เป็นส่วนหนึ่งของระบบปฏิบัติการหรือไฟล์ผู้จัดจำหน่ายที่วางไว้ที่นั่นหรือไม่? ฉันควรจะลองเปิดมันไหม?

คำตอบ:


15

ในการระบุที่มาคุณมีเครื่องมือหลายอย่างในมือ:

  • การลงรหัส ตรวจสอบรหัสลงนามของแอพ / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    สิ่งนี้ให้ผลดังนี้:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    ดูเหมือนถูกต้องและ (เปรียบเทียบกับแอพอื่น ๆ ) จาก Apple เอง หากแอพ / pkg ลงนามโดย บริษัท อื่นอย่างน้อยหนึ่งบรรทัดผู้มีอำนาจจะแสดงผู้ขาย / นักพัฒนาที่แตกต่างกัน

  • ตรวจสอบไฟล์ใบเสร็จ bom:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    ซึ่งอาจจะให้ผล:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    ตรวจสอบไฟล์ plist ที่เกี่ยวข้องและคุณจะได้รับแพ็คเกจติดตั้ง: RemoteDesktopClient 3.9.2 ดูเหมือนว่าแอปเปิ้ลที่ถูกกฎหมาย ตอนนี้คุณสามารถlsbom ...ไฟล์ man lsbomดู

    โฟลเดอร์Receiptsที่สองที่มี boms / plists ที่ไม่ใช่ของ Apple อยู่ในโฟลเดอร์ / Library!


อาจมีวิธีการเพิ่มเติมเพื่อตรวจสอบว่าไฟล์นั้นถูกต้องหรือไม่ซึ่งฉันจะลองเพิ่มในภายหลัง


ว้าวขอบคุณสำหรับคำตอบที่น่าทึ่งนี้! ไม่เพียง แต่ฉันจะโล่งใจว่าไฟล์นั้นถูกต้องตามกฎหมายฉันยังมีความสุขที่ได้เรียนรู้สิ่งใหม่ - การกำหนดแหล่งที่มาของไฟล์บางครั้งอาจมีความสำคัญต่อฉัน
Sven

1

ฉันยังเห็นแพ็คเกจ /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg บน MacBook Pro ของฉันที่ใช้ macOS 10.13.1 (High Sierra)

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

ฉันอัพเกรดเป็น High Sierra เมื่อวันที่ 14 พฤศจิกายน

ตรวจสอบลายเซ็นโดยใช้ pkgutil ฉันเห็นว่าแพคเกจนั้นได้รับการลงนามโดยใบรับรองที่ไม่น่าเชื่อถือ:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

เมื่อพยายามเปิดแพ็คเกจฉันเห็นคำเตือนนี้: คำเตือนใบรับรองไม่ถูกต้อง

เมื่อฉันคลิกที่ปุ่มแสดงใบรับรองฉันเห็นว่าใบรับรองหมดอายุ: ใบรับรองหมดอายุ

ดังนั้นจึงอาจไม่แนะนำให้ติดตั้งแพ็คเกจ RemoteDesktopChangeClientSettings.pkg รุ่นนี้ :-)


0

เป็นองค์ประกอบของ Apple แน่นอน มันยังคงอยู่แม้หลังจากที่ฉันลองถอนการติดตั้ง Remote Desktop.app ของฉันดังนั้นฉันคาดเดาว่าเป็นสิ่งที่ระบบปฏิบัติการอาจติดตั้งไว้

ฉันได้ยื่นปัญหากับ Apple Bugs เนื่องจาก / usr / local นั้นอยู่ภายใต้การควบคุมของผู้ใช้และไม่ควรติดตั้งไฟล์ OS ใด ๆ เลย

ฉันลบโฟลเดอร์ / usr / local / remotedesktop ของฉันเนื่องจากมันน่าเกลียดอยู่ที่นั่น แต่มันอาจทำลาย Remote Desktop ไม่ทางใดก็ทางหนึ่งไม่แน่ใจ การหวังว่าการอัปเดตระบบปฏิบัติการครั้งต่อไปอาจแก้ไขปัญหาและไม่ใส่ไฟล์ใน / usr / local อีกต่อไป


ยินดีต้อนรับสู่ถามที่แตกต่างกัน โปรดอย่าเพิ่มความคิดเห็นในส่วนคำตอบ นี่เป็นคำตอบสำหรับคำถามเท่านั้น หากคุณมีคำถามที่แตกต่างที่คุณสามารถถามได้โดยคลิกที่ถามคำถาม นอกจากนี้คุณยังสามารถเพิ่มเงินรางวัลเพื่อดึงดูดความสนใจมากขึ้นกับคำถามนี้เมื่อคุณมีเพียงพอชื่อเสียง ดูวิธีขอข้อมูลเพิ่มเติมเกี่ยวกับวิธีถามคำถาม - จากรีวิว
fsb
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.