Apple製品をこのまま使用・購入し続けて大丈夫でしょうか？osをクリーンインストールしても改善しません。

Question

レベル 1

4 ポイント

Apple製品をこのまま使用・購入し続けて大丈夫でしょうか？osをクリーンインストールしても改善しません。

Iphoneのカメラが自動起動することが頻繁に発生したためiphoneのインターネットプロトコルを分析することにしました。そこて、macos catalina にXcode、WireSkarkとexcel 2019 for Mac をインストールして分析しました。

その結果iPhone が不正な世界各地のipアドレスと通信していることが検証できました。

ところが、excelで分析中に形式を選択してペーストするメニューが突然メニュー形式からポップアップメニューに切り替わったため、システムログを見ると不正な記録(後述)が確認でしました。さらに、インターネットネットワーク上でも信頼の置けないipアドレスにnetbiosでアクセスしておりpfでprotocolをdisableしたところそのipアドレスがローカルipアドレスに切り替えてアクセスしてきました。以上により、リモート操作されたことが明確になりました。因みにmacのfirewall設定は外部からの接続禁止です。明らかにmac内ソフトウェアからの外部接続がリモートコントロールされている証拠です。

その後osをクリーンインストールしてもappleからのリモート操作が疑われるシステムログが以下の様に記録され続けています。

mac製品をこのまま使用・購入し続けて大丈夫でしょうか？

ログの一部は以下です。ログの全体は、このwebの容量制限が有りそうなので別のスレッドで提示します。

Feb 1 20:28:22 MacBook AccountProfileRemoteViewService[5781]: objc[5781]: Class AOSUISpyglassAccountChangeHelper is implemented in both /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/AOSUI and /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService. One of the two will be used. Which one is undefined.

因みに実態ファイルは以下です。

pwd

/System/Library/PrivateFrameworks/AOSUI.framework/Versions/A

MacBook $ ls -la AOSUI

-rwxr-xr-x 1 root wheel 2063888 1 23 22:00 AOSUI

$ pwd

/System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS

MacBook:MacOS xxxx $ ls -la

total 40

drwxr-xr-x 3 root wheel 96 1 23 21:59 .

drwxr-xr-x 7 root wheel 224 12 14 12:09 ..

-rwxr-xr-x 1 root wheel 63280 1 23 21:59 AccountProfileRemoteViewService

以上

MacBook Pro 15", 10.15

投稿日 2020/02/01 05:09

返信

Answer 1

hohokihai

レベル 4

2,052 ポイント

2020/02/01 22:06 k188 への返信

> システムログを見ると不正な記録(後述)が確認でしました。

"... is implemented in both ..."は無害なメッセージです。何をもって不正としているのでしょうか？

> インターネットネットワーク上でも信頼の置けないipアドレスにnetbiosでアクセスしており

> pfでprotocolをdisableしたところそのipアドレスがローカルipアドレスに切り替えてアクセスしてきました。

信頼の置けないipアドレスとは何ですか？pfとは何ですか？

PrivateFrameworksの詳細は明らかにされていないため、判断は困難です。

ちなみにMojaveでは、AOSUI.frameworkのXPCServicesは削除されています。

XPCサービスはプロセス間通信のヘルパーツールで、/sbin/launchdから起動されることもあります。

AccountProfileRemoteViewServiceがlaunchdから起動されているかどうかは、下記コマンドを実行することで確認できます。

find /Library/LaunchAgents /Library/LaunchDaemons /System/Library/LaunchAgents /System/Library/LaunchDaemons -name "*.plist" | sort | while read; do if [[ $( plutil -p "$REPLY" | grep -c "AccountProfileRemoteViewService" ) != 0 ]]; then echo "$REPLY"; fi; done;

私の環境にはAccountProfileRemoteViewServiceはないので何も表示されませんが、もしここにplistが出てくれば、それをDisableにすれば起動しなくなります。2つ目のコマンドは/sbin/launchdから起動されているXPCサービス一覧です（おまけ

返信

Answer 2

はに

レベル 9

78,059 ポイント

2020/02/01 21:02 k188 への返信

何かそういうプロファイルをインストールしてるとかじゃないのですか？

ディスクを完全に消去してmacosの再インストールすれば、プロファイルを新たにインストールしない限り、そういうものは消えるはずです。クリーン再インストールしても立ち上がるとのことですが、クリーンインストール後、バックアップを戻したりされてませんか？

システム環境設定にプロファイルというのはありますか？（私のところにはシステム環境設定にプロファルのパネル自体がありません）

もしあればそこで削除もできるかもしれません。

https://support.apple.com/ja-jp/guide/profile-manager/pmdbd71ebc9/mac

どうしてもわからなければ、起動時どういうファイルが問題のプロセスを起動してるのかお調べになってはいかがでしょうか？

セーフブートで起動したときはどうなんでしょう？

それをここにご報告いただけると多くの方に参考になるかもしれません。

返信

Answer 3

はに

レベル 9

78,059 ポイント

2020/02/02 22:12 k188 への返信

このプロセスはcatalinaインストール時に、インストール直後の設定で、解析のところで「クラッシュデータと使用状況データをアプリケーションデベロッパと共有」にチェックを入れると稼働します。

% ps ax |grep AccountProfileRemote

1363 ?? Ss 0:00.47 /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemote

ViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService

通常の稼働時でも、システム環境設定＞セキュリティとプライバシーのプライバシーの左欄で解析と改善を選択すると右蘭に表示される「アプリケーションデベロッパと共有」の項目と思います。なので、ここでチェックを外せば動かないようになると思います。

プロセスの名前がおどろおどろしいので誤解されかねませんが、これはマルウェアとかではなく、アップル純正のプロセスです。

英語でも似たようなポストがあります。

https://forums.malwarebytes.com/topic/252911-what-is-accountprofileremoveviewservice-running-on-my-macwh/

hohokihaiさん：

このプロセスが動いてる状態で、仰るコマンド実行してみましたが、起動してるplistはわかりませんでした。

% find /Library/LaunchAgents /Library/LaunchDaemons /System/Library/LaunchAgents /System/Library/LaunchDaemons -name "*.plist" | sort | while read; do if [[ $( plutil -p "$REPLY" |grep -c "AccountProfileRemoteViewService" ) != 0 ]]; then echo "$REPLY"; fi; done;

%

何か間違ってるのでしょうか？

返信

Answer 4

hohokihai

レベル 4

2,052 ポイント

2020/02/03 16:58 はにへの返信

> システム環境設定を立ち上げれば、そのタイミングで出ます。

class-dumpコマンドでObjective-Cのヘッダを生成してみると、iCloud関連のものが出てきました。

iCloudをオフにしてから、システム環境設定を立ち上げても出ますか？

返信

Answer 5

はに

レベル 9

78,059 ポイント

2020/02/01 06:07 k188 への返信

> Feb 1 20:28:22 MacBook AccountProfileRemoteViewService[5781]:

このプロセスって、プロファイルマネジャーか何かで制御されてる（会社とか組織の）クライアントなのでは？

そういうクライアントであれば、遠隔から見られてるかもしれませんね。

個人ユーザのcatalinaだとこのようなプロセスは動いてません。

macOS Serverのサポート記事にプロファイルマネジャーの説明があります。

プロファイルマネージャユーザガイド

返信

Answer 6

hohokihai

レベル 4

2,052 ポイント

2020/02/03 16:36 はにへの返信

Catalinaで復活してるのですね...

> このプロセスが動いてる状態で、仰るコマンド実行してみましたが、起動してるplistはわかりませんでした。

XPCサービスは、必ずしもlaunchd.plistを持っているわけではなく、launchd以外のプロセスが起動させている場合もあります。

つまり、誰が起動しているのを特定するのが難しいのです。

例えば、同じXPCServicesのcom.apple.geod.xpcについて調べてみます。⌘+Rで起動して、名前を変えてみます。

cd /Volumes/Macintosh\ HD/System/Library/PrivateFrameworks/GeoServices.framework/XPCServices
mv com.apple.geod.xpc com.apple.geod.xpc.back

再起動すると、次のようなエラーメッセージが出るようになります。

Feb  3 15:19:10 MacBook com.apple.xpc.launchd[1] (com.apple.geod[433]): Could not find and/or execute program specified by service: 2: No such file or directory: /System/Library/PrivateFrameworks/GeoServices.framework/Versions/A/XPCServices/com.apple.geod.xpc/Contents/MacOS/com.apple.geod
Feb  3 15:19:10 MacBook com.apple.xpc.launchd[1] (com.apple.geod[433]): Service setup event to handle failure and will not launch until it fires.
Feb  3 15:19:10 MacBook com.apple.xpc.launchd[1] (com.apple.geod[433]): Service exited with abnormal code: 78

これにより、launchdがXPCを使ってcom.apple.geod.xpcを起動しようとしていることが分かります。com.apple.geod.xpcにはlaunchd.plistがありません。

ただ、Catalinaでは、名前を変える改竄をするとmacOSが起動しなくなったことがあるので、その場合には⌘+Rで起動して、元に戻して下さい。

返信

Answer 7

はに

レベル 9

78,059 ポイント

2020/02/03 05:51 はにへの返信

済みません。

> このプロセスはcatalinaインス.......使用状況データをアプリケーションデベロッパと共有」にチェックを入れると稼働

というの無関係のようです。

例のプロセスは、単にシステム環境設定を立ち上げると出るだけでした。

それは、ターミナルで、

tail -f /var/log/system.log |grep AccountProfileRemoteViewService

とかしておいて、システム環境設定を立ち上げれば、そのタイミングで出ます。でもシステム環境設定を終了すればすぐ終了してしまいます。解析のアプリケーションデベロッパーと共有のチェックの有無は無関係でした。

トピ主さんのところは、このプロセスは、システム環境設定の起動とかと無関係にずっと起動してるのでしょうか？

返信

Answer 8

k188 作成者

レベル 1

4 ポイント

2020/02/01 15:55 k188 への返信

ログの続きで。

.......

Feb 1 19:46:41 MacBook AMPArtworkAgent[4056]: objc[4056]: Class PDFToRasterImageRef is implemented in both /System/Library/PrivateFrameworks/AMPLibrary.framework/Versions/A/AMPLibrary and /System/Library/PrivateFrameworks/AMPLibrary.framework/Versions/A/Support/AMPArtworkAgent. One of the two will be used. Which one is undefined.

Feb 1 19:47:08 MacBook login[4174]: USER_PROCESS: 4174 ttys002

Feb 1 19:49:14 MacBook com.apple.preference.security.remoteservice[4879]: objc[4879]: Class AWDSecurityPrefAutoUnlockSetup is implemented in both /System/Library/PreferencePanes/Security.prefPane/Contents/XPCServices/com.apple.preference.security.remoteservice.xpc/Contents/MacOS/com.apple.preference.security.remoteservice (0x10c3ef768) and /System/Library/PreferencePanes/Security.prefPane/Contents/MacOS/Security (0x10ea35180). One of the two will be used. Which one is undefined.

Feb 1 19:50:02 MacBook login[4174]: DEAD_PROCESS: 4174 ttys002

Feb 1 19:50:09 MacBook login[5239]: USER_PROCESS: 5239 ttys002

Feb 1 19:51:07 MacBook xpcproxy[5495]: libcoreservices: _dirhelper_userdir: 557: bootstrap_look_up returned (ipc/send) invalid destination port

Feb 1 19:53:25 MacBook com.apple.xpc.launchd[1] (com.apple.TMHelperAgent.SetupOffer): Service only ran for 4 seconds. Pushing respawn out by 6 seconds.

Feb 1 19:53:43 MacBook syslogd[89]: ASL Sender Statistics

Feb 1 19:54:42 MacBook login[5239]: DEAD_PROCESS: 5239 ttys002

Feb 1 19:54:43 MacBook login[2308]: DEAD_PROCESS: 2308 ttys000

Feb 1 19:54:43 MacBook login[2886]: DEAD_PROCESS: 2886 ttys001

Feb 1 19:55:30 MacBook com.apple.xpc.launchd[1] (com.apple.preference.security.remoteservice[4879]): Service exited due to SIGKILL | sent by com.apple.preference.security.re[4879]

Feb 1 19:55:36 MacBook login[5585]: USER_PROCESS: 5585 ttys000

Feb 1 19:55:36 MacBook Terminal[5584]: assertion failed: 19D76: libxpc.dylib + 95826 [51E3E807-9133-3605-BB5F-D59ED6404ABF]: 0x89

Feb 1 19:55:54 MacBook login[5585]: DEAD_PROCESS: 5585 ttys000

Feb 1 19:56:19 MacBook AccountProfileRemoteViewService[5609]: objc[5609]: Class AOSUISpyglassAccountChangeHelper is implemented in both /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/AOSUI and /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService. One of the two will be used. Which one is undefined.

Feb 1 19:56:23 MacBook com.apple.xpc.launchd[1](com.apple.preferences.AppleIDPrefPane.remoteservice[5616]): Service exited due to SIGKILL | sent by com.apple.preferences.AppleIDPre[5616]

Feb 1 19:56:28 MacBook AccountProfileRemoteViewService[5621]: objc[5621]: Class AOSUISpyglassAccountChangeHelper is implemented in both /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/AOSUI and /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService. One of the two will be used. Which one is undefined.

Feb 1 19:57:10 MacBook com.apple.xpc.launchd[1] (com.apple.AccountProfileRemoteViewService[5621]): Service exited due to SIGKILL | sent by AccountProfileRemoteViewService[5621]

Feb 1 19:57:10 MacBook com.apple.xpc.launchd[1] (com.apple.preference.universalaccess.remoteservice[5627]): Service exited due to SIGKILL | sent by com.apple.preference.universalac[5627]

Feb 1 19:57:18 MacBook AccountProfileRemoteViewService[5637]: objc[5637]: Class AOSUISpyglassAccountChangeHelper is implemented in both /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/AOSUI and /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService. One of the two will be used. Which one is undefined.

Feb 1 19:58:41 MacBook com.apple.xpc.launchd[1] (com.apple.AccountProfileRemoteViewService[5637]): Service exited due to SIGKILL | sent by AccountProfileRemoteViewService[5637]

Feb 1 19:58:41 MacBook com.apple.xpc.launchd[1] (com.apple.prefs.backup.remoteservice[5644]): Service exited due to SIGKILL | sent by com.apple.prefs.backup.remoteser[5644]

Feb 1 19:59:01 MacBook AccountProfileRemoteViewService[5646]: objc[5646]: Class AOSUISpyglassAccountChangeHelper is implemented in both /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/AOSUI and /System/Library/PrivateFrameworks/AOSUI.framework/Versions/A/XPCServices/AccountProfileRemoteViewService.xpc/Contents/MacOS/AccountProfileRemoteViewService. One of the two will be used. Which one is undefined.MacBook

返信

Answer 9

k188 作成者

レベル 1

4 ポイント

2020/02/01 20:03 はにへの返信

お返事ありがとうございます。

因みに私のmacは個人所有で個人使用です。

エンタプライズ環境で使用していません。

出来れば、クライアントmacbookのプロファイルマネージャー機能を無効化する方法をご指南頂けるとありがたいです。

返信