Dossier Remotedesktop étrange dans usr / local - sûr?

16

En faisant un nettoyage d'anciens fichiers sur mon Mac (macOS 10.12.4, ayant été mis à jour il y a quelques jours), je viens de découvrir un fichier étrange sur lequel je n'ai trouvé aucune information.

Dans usr/local, il y a un dossier appelé remotedesktopavec un RemoteDesktopChangeClientSettings.pkgfichier à l'intérieur.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Bien que je sache que les clients de bureau à distance ont de nombreux cas d'utilisation légitimes, je suis un peu inquiet d'où cela vient, car je n'en ai jamais utilisé sur cette machine.

Ce fichier fait-il partie intégrante du système d'exploitation ou d'un fichier fournisseur qui y a été placé? Dois-je essayer de l'ouvrir?

Sven
la source

Réponses:

15

Pour déterminer l'origine, vous disposez de plusieurs outils:

  • Signature de code. Vérifiez la signature du code de l'application / du pack:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Cela donne les résultats suivants:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Semble légitime et (en le comparant à d'autres applications) d'Apple lui-même. Si l'application / le package était signé par une autre société, au moins une des lignes d'autorité afficherait un fournisseur / développeur différent.

  • Vérifiez les fichiers de nom de réception:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    ce qui donnera probablement:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Vérifiez le fichier plist correspondant et vous obtiendrez le package d'installation: RemoteDesktopClient 3.9.2. Semble également légitime Apple. Vous pouvez maintenant lsbom ...le fichier. Tu vois man lsbom.

    Un deuxième dossier Receipts avec des nomenclatures / plists non Apple se trouve dans le dossier / Library!


Il existe probablement d'autres méthodes pour vérifier si le fichier est légitime ou non que j'essaierai d'ajouter plus tard.

klanomath
la source
Wow, merci pour cette réponse incroyable! Non seulement je suis soulagé que le fichier soit légitime, mais je suis également heureux d'avoir quelque chose de nouveau à apprendre - déterminer la source d'un fichier peut parfois être très important pour moi.
Sven
1

Je vois également un package /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg sur mon MacBook Pro exécutant macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Je suis passé à High Sierra le 14 novembre.

En vérifiant la signature à l'aide de pkgutil, je vois que le paquet a été signé par un certificat non approuvé:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

En essayant d'ouvrir le paquet, je vois cet avertissement: avertissement de certificat non valide

Lorsque je clique sur le bouton Afficher le certificat, je constate que le certificat a expiré: certificat expiré

Il n'est donc probablement pas conseillé d'installer cette version du package RemoteDesktopChangeClientSettings.pkg :-)

Rohan Talip
la source
0

C'est définitivement un composant Apple. Il est resté même après avoir essayé de désinstaller mon Remote Desktop.app, donc je suppose que c'est quelque chose que le système d'exploitation a peut-être installé.

J'ai déposé un problème avec Apple Bugs car / usr / local est censé être sous le contrôle de l'utilisateur et aucun fichier OS ne devrait y être installé.

J'ai supprimé mon dossier / usr / local / remotedesktop car il est moche de l'avoir mais il peut casser le bureau à distance d'une manière ou d'une autre, je ne sais pas. En espérant que la prochaine mise à jour du système d'exploitation pourrait résoudre le problème et ne plus mettre de fichiers dans / usr / local.

Eduard Rozenberg
la source
Bienvenue sur Ask Different. Veuillez ne pas ajouter de commentaires dans la section Réponse. Ceci est uniquement pour les réponses aux questions. Si vous avez une autre question, vous pouvez la poser en cliquant sur Poser une question . Vous pouvez également ajouter une prime pour attirer davantage l'attention sur cette question une fois que vous avez suffisamment de réputation . Voir Comment demander pour plus d'informations sur la façon de poser une question. - De l'avis
fsb