La razón es que el instalador de Wireshark instala un LaunchDaemon (es decir, algo que se ejecuta con privilegios de superusuario en el arranque) para establecer permisos especiales para capturar paquetes de red. Más concretamente puedes mirar el archivo /Library/LaunchDaemon/org.wireshark.ChmodBPF.plist para ver qué hace y cuándo se ejecuta.
Como la creación de estos LaunchDaemons requiere privilegios de superusuario en sí mismo, el instalador de Wireshark requiere que seas un superusuario (es decir, tienes que introducir una contraseña de usuario administrador para instalar el software).
Si se observa el actual script ejecutado por el LaunchDaemon en /Library/Application Support/Wireshark/ChmodBPF/ChmodBPF Verás que crea 256 entradas de dispositivos /dev/bpf0 a /dev/bpf255 y establece que todos en el grupo access_bpf pueden leer y escribir en estos archivos de dispositivos.
Los grupos access_bpf también son creados por el instalador de Wireshark. Esto también requiere privilegios de superusuario. Si abre las Preferencias del Sistema y luego Usuarios y Grupos, podrá desplegar la parte de "Grupos" del árbol y ver "access_bpf" listado allí. A continuación, puede añadir/quitar usuarios de ese grupo para dar o quitar el permiso para capturar paquetes de red dentro de Wireshark.
0 votos
¿Qué tipo de wireshark estás utilizando? ¿GUI (aplicación) o línea de comandos?
0 votos
¿Has entrado como usuario estándar o como usuario administrador?
0 votos
La pregunta del título y la del cuerpo de tu post no son lo mismo. La razón por la que puedes abrir Wireshark sin privilegios de Root es porque puedes usarlo para analizar los volcados de paquetes, que son archivos normales.
0 votos
@IconDaemon Me refiero a la aplicación GUI.