Seltsamer Remotedesktop-Ordner in usr / local - sicher?

Während ich alte Dateien auf meinem Mac bereinigte (macOS 10.12.4, nachdem es vor ein paar Tagen aktualisiert wurde), entdeckte ich gerade eine seltsame Datei, zu der ich keine Informationen finden konnte.

In usr/localbefindet sich ein Ordner remotedesktopmit einer darin enthaltenen RemoteDesktopChangeClientSettings.pkgDatei.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Obwohl ich weiß, dass Remotedesktopclients viele legitime Anwendungsfälle haben, bin ich etwas besorgt, woher dies kommt, da ich auf diesem Computer noch keine verwendet habe.

Ist diese Datei ein regulärer Bestandteil des Betriebssystems oder eine Herstellerdatei, die dort abgelegt wurde? Soll ich es versuchen und öffnen?

Um den Ursprung zu bestimmen, haben Sie mehrere Werkzeuge zur Hand:

• Codesignatur. Überprüfen Sie die Codesignatur der App / des Pakets:

  codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
  

  Dies ergibt folgendes:

  Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
  Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
  Format=installer package bundle
  CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
  Hash type=sha1 size=20
  CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Hash choices=sha1
  CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Signature size=4072
  Authority=Software Signing
  Authority=Apple Code Signing Certification Authority
  Authority=Apple Root CA
  Info.plist entries=24
  TeamIdentifier=not set
  Sealed Resources version=2 rules=12 files=21
  Internal requirements count=1 size=96
  

  Scheint legitim und (im Vergleich zu anderen Apps) von Apple selbst. Wenn die App / das Paket von einem anderen Unternehmen signiert wurde, zeigt mindestens eine der Authority-Zeilen einen anderen Anbieter / Entwickler.

• Überprüfen Sie die Belegdateien:

  grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
  

  was wahrscheinlich ergeben wird:

  Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
  

  Überprüfen Sie die entsprechende plist-Datei und Sie erhalten das Installationspaket: RemoteDesktopClient 3.9.2. Scheint auch echt Apple. Jetzt können Sie lsbom ...die Datei. Sehen man lsbom.

  Ein zweiter Ordner mit Quittungen, die nicht von Apple stammen, befindet sich im Ordner / Library!

Es gibt wahrscheinlich weitere Methoden, um zu überprüfen, ob die Datei echt ist oder nicht, die ich später hinzufügen möchte.

Ich sehe auch ein /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg-Paket auf meinem MacBook Pro mit macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Ich bin am 14. November auf High Sierra umgestiegen.

Wenn ich die Signatur mit pkgutil überprüfe, sehe ich, dass das Paket von einem nicht vertrauenswürdigen Zertifikat signiert wurde:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Beim Versuch, das Paket zu öffnen, wird folgende Warnung angezeigt:

Wenn ich auf die Schaltfläche Show Certificate (Zertifikat anzeigen) klicke, sehe ich, dass das Zertifikat abgelaufen ist:

Daher ist es wahrscheinlich nicht ratsam, diese Version des RemoteDesktopChangeClientSettings.pkg-Pakets zu installieren :-)

Es ist definitiv eine Apple-Komponente. Es ist geblieben, auch nachdem ich versucht habe, meine Remote Desktop.app zu deinstallieren. Ich schätze, es ist etwas, das das Betriebssystem möglicherweise installiert hat.

Ich habe ein Problem mit Apple Bugs gemeldet, da / usr / local unter der Kontrolle des Benutzers stehen soll und dort niemals Betriebssystemdateien installiert sein sollten.

Ich habe meinen Ordner / usr / local / remotedesktop gelöscht, da er hässlich ist, aber er kann Remotedesktop in irgendeiner Weise beschädigen, nicht sicher. Wenn Sie hoffen, dass das nächste Betriebssystemupdate das Problem behebt und die Dateien nicht mehr in / usr / local abgelegt werden.