qu'est-ce que le groupe access_bpf?

27

Est-ce que quelqu'un sait ce qu'est / fait le groupe "access_bpf"? Je l'ai remarqué lorsque je suis entré dans Préférences> Utilisateurs et groupes.

J'ai cherché et trouvé que cela avait quelque chose à voir avec Wireshark, mais je n'ai pas installé le programme sur mon Mac, donc je suis trop sûr de la façon dont le groupe a été ajouté.

wireshark Andrew
la source
2
bonne recherche :) le Wireshark est celui qui fait ce groupe. Puisque vous ne vous souvenez pas de l'avoir installé, il se peut que ce soit quelqu'un d'autre.
Ruskes

Réponses:

27

Le programme d'installation de Wireshark configure votre système afin que l'utilisateur effectuant l'installation puisse capturer le trafic réseau sans que le programme de capture doive s'exécuter en tant que root.

La façon dont cela se fait est de:

  • créer un access_bpfgroupe;
  • mettre l'utilisateur dans ce groupe;
  • installer un StartupItem (dans les anciennes versions) ou un démon de lancement (dans les versions plus récentes) qui, au démarrage du système, modifie les autorisations des périphériques BPF en rw-rw --- et le propriétaire du groupe des périphériques BPF en access_bpf;
  • organise l'exécution du démon StartupItem / launch à ce moment.

Notez, BTW, que cela vous permet également de capturer le trafic avec Wireshark (ou les programmes TShark ou dumpcap de Wireshark) sans avoir à les exécuter en tant que root, cela vous permet également de capturer le trafic avec tcpdump sans avoir à l'exécuter en tant que root.


la source
10

Le programme d'installation de Wireshark créera le groupe access_bpf! ou dans votre cas qui sait :)

Comme vous ne vous souvenez pas de l'installation et que vous ne l'utilisez pas, supprimez-le.

Pour supprimer Wireshark de votre machine, recherchez les fichiers suivants sur votre Mac et supprimez-les s'ils existent:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Supprimez également le groupe access_bpf

Ruskes
la source
8

Accédez à Préférences Système -> Utilisateurs et groupes -> Déverrouillez-le en tant qu'administrateur -> ouvrez le champ Groupes sous Utilisateurs -> sélectionnez et supprimez.

Ou via un terminal avec

sudo dscl . -delete /Groups/access_bpf
leon
la source
Oui, mais vous n'avez pas répondu à la question, c'est-à-dire à quoi sert ce groupe ... D'autres l'ont fait cependant.
Motti Shneor
Vous avez raison. Cela aurait dû être un commentaire sur la manière de supprimer, pas une réponse. Quoi qu'il en soit, mon message d'origine mentionnait que c'était une réponse à une affiche précédente, mais il a été beaucoup édité, et deux fois. Pour que ce soit plus clair, cependant.
leon
1

Cela pourrait également être les restes de vous qui ont été touchés par un lecteur java par une attaque de malware.

Dans ce cas, un bot obtiendra un accès root, créera un compte invité (peut-être bien caché) et commencera à regarder vos trousseaux.

si vous voyez mitmproxy sous certs, appelez immédiatement apple ou un autre contact d'assistance de confiance.

ils m'ont parlé au téléphone comme s'ils n'avaient jamais entendu parler du problème.

le fait est toujours que MacOS n'est pas parfait. si vous avez encore besoin d'aide, n'hésitez pas à écrire.

fréquent
la source
1
Thanis pour avoir répondu. Les logiciels malveillants masquent souvent les choses avec des noms communs ou attendus. J'ai un peu édité. Vous pourriez considérer le rapport «ils n'ont pas entendu». Bien sûr, le soutien professionnel ne vous dévoilera pas les rapports des autres, ils se concentrent uniquement sur votre problème et le vôtre. Comme vous l'avez montré, toute phrase qu'ils disent sera souvent publiée publiquement sans le contexte d'une conversation plus longue, alors ils essaient également de s'en tenir aux faits en sachant qu'ils pourraient être en première page de Reddit demain.
bmike
0

Ce groupe sera également créé en installant Debookee, un outil d'analyse de trafic réseau natif macOS, qui utilise un Wireshark intégré.

https://debookee.com

Gummibando
la source