Seltsamer Remotedesktop-Ordner in usr / local - sicher?

16

Während ich alte Dateien auf meinem Mac bereinigte (macOS 10.12.4, nachdem es vor ein paar Tagen aktualisiert wurde), entdeckte ich gerade eine seltsame Datei, zu der ich keine Informationen finden konnte.

In usr/localbefindet sich ein Ordner remotedesktopmit einer darin enthaltenen RemoteDesktopChangeClientSettings.pkgDatei.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Obwohl ich weiß, dass Remotedesktopclients viele legitime Anwendungsfälle haben, bin ich etwas besorgt, woher dies kommt, da ich auf diesem Computer noch keine verwendet habe.

Ist diese Datei ein regulärer Bestandteil des Betriebssystems oder eine Herstellerdatei, die dort abgelegt wurde? Soll ich es versuchen und öffnen?

Sven
quelle

Antworten:

15

Um den Ursprung zu bestimmen, haben Sie mehrere Werkzeuge zur Hand:

  • Codesignatur. Überprüfen Sie die Codesignatur der App / des Pakets:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Dies ergibt folgendes:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Scheint legitim und (im Vergleich zu anderen Apps) von Apple selbst. Wenn die App / das Paket von einem anderen Unternehmen signiert wurde, zeigt mindestens eine der Authority-Zeilen einen anderen Anbieter / Entwickler.

  • Überprüfen Sie die Belegdateien:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    was wahrscheinlich ergeben wird:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Überprüfen Sie die entsprechende plist-Datei und Sie erhalten das Installationspaket: RemoteDesktopClient 3.9.2. Scheint auch echt Apple. Jetzt können Sie lsbom ...die Datei. Sehen man lsbom.

    Ein zweiter Ordner mit Quittungen, die nicht von Apple stammen, befindet sich im Ordner / Library!


Es gibt wahrscheinlich weitere Methoden, um zu überprüfen, ob die Datei echt ist oder nicht, die ich später hinzufügen möchte.

klanomath
quelle
Wow, danke für diese tolle Antwort! Ich bin nicht nur erleichtert, dass die Datei echt ist, ich bin auch froh, etwas Neues zu lernen - das Ermitteln der Quelle einer Datei kann mir manchmal wirklich wichtig sein.
Sven
1

Ich sehe auch ein /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg-Paket auf meinem MacBook Pro mit macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Ich bin am 14. November auf High Sierra umgestiegen.

Wenn ich die Signatur mit pkgutil überprüfe, sehe ich, dass das Paket von einem nicht vertrauenswürdigen Zertifikat signiert wurde:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Beim Versuch, das Paket zu öffnen, wird folgende Warnung angezeigt: ungültige Zertifikatswarnung

Wenn ich auf die Schaltfläche Show Certificate (Zertifikat anzeigen) klicke, sehe ich, dass das Zertifikat abgelaufen ist: abgelaufenes Zertifikat

Daher ist es wahrscheinlich nicht ratsam, diese Version des RemoteDesktopChangeClientSettings.pkg-Pakets zu installieren :-)

Rohan Talip
quelle
0

Es ist definitiv eine Apple-Komponente. Es ist geblieben, auch nachdem ich versucht habe, meine Remote Desktop.app zu deinstallieren. Ich schätze, es ist etwas, das das Betriebssystem möglicherweise installiert hat.

Ich habe ein Problem mit Apple Bugs gemeldet, da / usr / local unter der Kontrolle des Benutzers stehen soll und dort niemals Betriebssystemdateien installiert sein sollten.

Ich habe meinen Ordner / usr / local / remotedesktop gelöscht, da er hässlich ist, aber er kann Remotedesktop in irgendeiner Weise beschädigen, nicht sicher. Wenn Sie hoffen, dass das nächste Betriebssystemupdate das Problem behebt und die Dateien nicht mehr in / usr / local abgelegt werden.

Eduard Rozenberg
quelle
Willkommen bei Ask Different. Bitte unterlassen Sie das Hinzufügen von Kommentaren im Abschnitt "Antworten". Dies dient nur zur Beantwortung der Fragen. Wenn Sie eine andere Frage haben, können Sie sie stellen, indem Sie auf Frage stellen klicken . Sie können auch ein Kopfgeld hinzufügen, um mehr Aufmerksamkeit auf diese Frage zu lenken, sobald Sie über genügend Ansehen verfügen . Siehe Wie fragen , für weitere Informationen, wie Sie eine Frage zu stellen. - Aus der Bewertung
fsb