Dossier Remotedesktop étrange dans usr / local - sûr?

En faisant un nettoyage d'anciens fichiers sur mon Mac (macOS 10.12.4, ayant été mis à jour il y a quelques jours), je viens de découvrir un fichier étrange sur lequel je n'ai trouvé aucune information.

Dans usr/local, il y a un dossier appelé remotedesktopavec un RemoteDesktopChangeClientSettings.pkgfichier à l'intérieur.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Bien que je sache que les clients de bureau à distance ont de nombreux cas d'utilisation légitimes, je suis un peu inquiet d'où cela vient, car je n'en ai jamais utilisé sur cette machine.

Ce fichier fait-il partie intégrante du système d'exploitation ou d'un fichier fournisseur qui y a été placé? Dois-je essayer de l'ouvrir?

Pour déterminer l'origine, vous disposez de plusieurs outils:

• Signature de code. Vérifiez la signature du code de l'application / du pack:

  codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
  

  Cela donne les résultats suivants:

  Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
  Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
  Format=installer package bundle
  CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
  Hash type=sha1 size=20
  CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Hash choices=sha1
  CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Signature size=4072
  Authority=Software Signing
  Authority=Apple Code Signing Certification Authority
  Authority=Apple Root CA
  Info.plist entries=24
  TeamIdentifier=not set
  Sealed Resources version=2 rules=12 files=21
  Internal requirements count=1 size=96
  

  Semble légitime et (en le comparant à d'autres applications) d'Apple lui-même. Si l'application / le package était signé par une autre société, au moins une des lignes d'autorité afficherait un fournisseur / développeur différent.

• Vérifiez les fichiers de nom de réception:

  grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
  

  ce qui donnera probablement:

  Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
  

  Vérifiez le fichier plist correspondant et vous obtiendrez le package d'installation: RemoteDesktopClient 3.9.2. Semble également légitime Apple. Vous pouvez maintenant lsbom ...le fichier. Tu vois man lsbom.

  Un deuxième dossier Receipts avec des nomenclatures / plists non Apple se trouve dans le dossier / Library!

Il existe probablement d'autres méthodes pour vérifier si le fichier est légitime ou non que j'essaierai d'ajouter plus tard.

Je vois également un package /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg sur mon MacBook Pro exécutant macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Je suis passé à High Sierra le 14 novembre.

En vérifiant la signature à l'aide de pkgutil, je vois que le paquet a été signé par un certificat non approuvé:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

En essayant d'ouvrir le paquet, je vois cet avertissement:

Lorsque je clique sur le bouton Afficher le certificat, je constate que le certificat a expiré:

Il n'est donc probablement pas conseillé d'installer cette version du package RemoteDesktopChangeClientSettings.pkg :-)

C'est définitivement un composant Apple. Il est resté même après avoir essayé de désinstaller mon Remote Desktop.app, donc je suppose que c'est quelque chose que le système d'exploitation a peut-être installé.

J'ai déposé un problème avec Apple Bugs car / usr / local est censé être sous le contrôle de l'utilisateur et aucun fichier OS ne devrait y être installé.

J'ai supprimé mon dossier / usr / local / remotedesktop car il est moche de l'avoir mais il peut casser le bureau à distance d'une manière ou d'une autre, je ne sais pas. En espérant que la prochaine mise à jour du système d'exploitation pourrait résoudre le problème et ne plus mettre de fichiers dans / usr / local.