19 votos

Adam avatar

Extraña carpeta remotedesktop en usr/local - ¿seguro?

Preguntado el 9 de Abril, 2017
Cuando se hizo la pregunta
223 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Mientras hacía una limpieza de archivos antiguos en mi Mac (MacOS 10.12.4, habiendo actualizado hace unos días) acabo de descubrir un archivo extraño del que no he podido encontrar ninguna información.

En usr/local hay una carpeta llamada remotedesktop con un RemoteDesktopChangeClientSettings.pkg archivo dentro.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Aunque sé que los clientes de escritorio remoto tienen muchos casos de uso legítimos, me preocupa un poco de dónde viene esto ya que nunca he utilizado ninguno en esta máquina.

¿Este archivo es una parte normal del sistema operativo o un archivo de proveedor que se colocó allí? ¿Debo intentar abrirlo?

Preguntado el 9 de Abril, 2017 por Adam

Respuestas

¿Demasiados anuncios?

17voto

klanomath avatar
klanomath Puntos 19587

Para determinar el origen tienes varias herramientas a mano:

  • Firma del código. Comprueba la firma del código de la aplicación/paquete:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg

    Esto da como resultado lo siguiente:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
Format=installer package bundle
CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Hash choices=sha1
CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Signature size=4072
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Info.plist entries=24
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=21
Internal requirements count=1 size=96

    Parece legítimo y (comparándolo con otras aplicaciones) de la propia Apple. Si la aplicación/el paquete estuviera firmado por otra empresa, al menos una de las líneas de la Autoridad mostraría un proveedor/desarrollador diferente.

  • Comprueba los archivos del recibo bom:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"

    lo que probablemente rendirá:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches

    Comprueba el archivo plist correspondiente y obtendrás el paquete instalador: RemoteDesktopClient 3.9.2. Parece también legítimo de Apple. Ahora puedes lsbom ... el archivo. Véase man lsbom .

    Un segundo Recibos La carpeta con los boms/plists que no son de Apple está en la carpeta /Library.

Probablemente hay algunos métodos más para comprobar si el archivo es legítimo o no, que intentaré añadir más adelante.

Respondido el 9 de Abril, 2017 por klanomath (19587 Puntos )

0 votos

Avatar de Adam

Wow, ¡gracias por esta increíble respuesta! No sólo me alivia saber que el archivo es legítimo, sino que también me alegra tener algo nuevo que aprender: determinar el origen de un archivo a veces puede ser realmente importante para mí.

Comentado el 9 de Abril, 2017 por Adam

2voto

Rohan Talip avatar
Rohan Talip Puntos 21

También veo un paquete /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg en mi MacBook Pro con MacOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Actualicé a High Sierra el 14 de noviembre.

Comprobando la firma con pkgutil, veo que el paquete ha sido firmado por un certificado no fiable:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Al intentar abrir el paquete, veo esta advertencia: invalid certificate warning

Cuando hago clic en el botón Mostrar certificado, veo que el certificado ha caducado: expired certificate

Por lo tanto, probablemente no sea aconsejable instalar esta versión del paquete RemoteDesktopChangeClientSettings.pkg :-)

Respondido el 15 de Diciembre, 2017 por Rohan Talip (21 Puntos )

0voto

Eduard Rozenberg avatar
Eduard Rozenberg Puntos 168

Definitivamente es un componente de Apple. Permaneció incluso después de intentar desinstalar mi Remote Desktop.app, así que supongo que es algo que el SO puede haber instalado.

Presenté un problema con Apple Bugs ya que /usr/local está destinado a estar bajo el control del usuario y nunca debería haber ningún archivo del sistema operativo instalado allí.

He borrado mi carpeta /usr/local/remotedesktop ya que es feo tenerla allí pero puede romper Remote Desktop de alguna manera, no estoy seguro. Esperando que la próxima actualización del sistema operativo pueda arreglar el problema y no poner los archivos en /usr/local más.

Respondido el 5 de Junio, 2017 por Eduard Rozenberg (168 Puntos )

0 votos

Avatar de Kevin Peterson

Bienvenido a Ask Different. Por favor, absténgase de añadir comentarios en la sección de Respuestas. Esto es sólo para las respuestas a las preguntas. Si tiene una pregunta diferente, puede formularla haciendo clic en Preguntar . También puede añadir una recompensa para llamar más la atención sobre esta cuestión una vez que tenga suficiente reputación . Ver Cómo preguntar para más información sobre cómo hacer una pregunta. - De la revisión

Comentado el 5 de Junio, 2017 por Kevin Peterson

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X