Co je rapportd a proč chce příchozí síťová připojení?

Právě jsem aktualizoval na nejnovější MacOS 10.13.2 a po restartu mě počítač požádal o povolení příchozích síťových připojení pro „rapportd“.

Po jeho zablokování a kontrole konfigurace brány firewall vidím, že se jedná o spustitelný soubor v /usr/libexec/rapportd, který byl vytvořen na mém počítači 1. prosince.

Že „den po instalaci bezpečnostní aktualizace 2017-001 (podruhé; autoupdate si nejspíš nevšiml, že jsem ji ručně aktualizoval), ani jsem nenainstaloval ani neaktualizoval žádnou jinou software nedávno / přibližně v té době. Google Chrome se aktualizuje, kdykoli na to má chuť, takže by to mohlo souviset s aktualizací Chrome (netuší, kdy byla naposledy aktualizována).

Internet naznačuje, že to souvisí s některými bankovnictví ochranný program, ale zdá se, že se sem nehodí, a z neurčité kontroly textových úprav binárního souboru vidím, že odkazuje na /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (rámec vytvořený na mém počítači zpět v Července a aktualizováno v říjnu), což mě nutí si myslet, že se pravděpodobně bude jednat o nového démona OS první strany.


Co dělá rapportd?

Komentáře

  • Má manuálovou stránku, ale ‚ není příliš užitečný: “ Synopse: Démon poskytující podporu pro rámec připojení Rapport. “
  • 1. Rady odjinud naznačují, že je třeba se připojit k místním zařízením Apple (a probudit Mac z režimu spánku). 2. V System / Library / CoreServices je také RapportUIAgent. 3. Existují 2 spouštěcí agenti. 4. rapportd existuje v 10.13.0, ale není aktivní. 5. Existuje /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Text v rapportd.sb a ve spustitelném souboru rapportd zahrnuje airplay, wifi, bluetooth, párování a homekit.
  • I myslíte, že to bylo vaše druhé zařízení Apple, které se pokusilo připojit k vašemu mbp.
  • Don ‚ o tomto druhu věcí moc nevíte, ale všimli jste si, že příchozí pokus conect pochází z mého iPhone (‚ s IP adresou, ke které je můj iPhone připojen).
  • Přišel jsem sem kvůli inzerci služby bonjour, kterou rapportd inzeruje. Výstup “ dns-sd -B _services._dns-sd._udp “ je “ _tcp.local. _companion-link „, který je chybně napsán jako “ Compagnion link “ typ služby v síti iNet Skener. Chybná pravopisná slova v neznámých službách Bonjour mi vypnou detektor malwaru. I když je Handoff vypnutý, tato služba zůstane spuštěna. Myslím, že Apple musí být schopen udržet telefony / tablety / notebooky připojené za každou cenu. Po kontrole s codeignem si myslím, že rapportd je první strana. Proč tak obskurní.

Odpověď

Manuální stránka uvádí:

Daemon providing support for the Rapport connectivity framework.

Kontrola podpisu kódu pomocí codesign -dv --verbose=4 /usr/libexec/rapportd ukazuje, že je podepsán společností Apple a protože je propojen s PrivateFrameworkem (což společnost Apple nepovoluje pro ostatní) a na místě chráněném SIP (pokud jste nevypnuli SIP) se to jeví jako legitimní software Apple. Manuální stránka implikuje, že to souvisí s komunikací, přesto jsem k ní zatím nenašel žádnou skutečnou dokumentaci.

(Děkuji Johnu Keatesovi za tip na podpis kódu.)

Fotoaparát pro kontinuitu ve vašem počítači Mac také umožňuje rapportd:

  • ve vašem macOS aplikace první strany, jako je Notes.app nebo Pages.app, můžete vydat příkaz „Take Photo“, který otevře aplikaci fotoaparátu na vašem iPhonu nebo iPadu.
  • Tím se také spustí příchozí připojení k rapportd (asi 1,2 megabajtu pro každou fotografii pocházející z iPhone 6S, pozorováno u LittleSnitch )

Komentáře

  • Jen proto, že to Apple autorizoval, ‚ to “ legitimní „. Společnost Apple shromažďuje a sdílí informace o svých uživatelích s orgány státní bezpečnosti od října 2012 . Nechci ‚ mít iPhone a ‚ nechci mít otevřenou bezpečnostní díru pro sdílení s jinými zařízeními Apple.
  • “ je ‚ propojen s PrivateFramework (což Apple ‚ neumožňuje pro ostatní) „: Apple se o to ‚ nestará, pokud vám ‚ re plánuje distribuci prostřednictvím App Store. Ve skutečnosti jedna z aplikací, na kterých pracuji, odkazuje na soukromý rámec a Apple nám to v pohodě podepíše.

Odpověď

Kromě toho, co již bylo zveřejněno, je / usr / libexec / rapportd kód podepsaný Apple a propojený proti PrivateFramework (který Apple neumožňuje ostatním, a proto je nepodepisuje pro ostatní), a na místě chráněném SIP. Pokud nevypnete SIP, je to prostě součást OS, kterou tam umístil Apple.

Toto můžete zkontrolovat na příkazovém řádku:

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd 

Toto by mělo hlásit něco jako:

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied 

Chcete-li ukázat, na co jsou knihovny propojeny:

otool -L /usr/libexec/rapportd 

Který zobrazí něco jako:

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0) 

Komentáře

  • “ které Apple ‚ neumožňuje ostatním, a proto ‚ nepodepisuje ostatní „: Zkuste to sami; ‚ uvidíte, že to funguje dobře: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks a kódováno společností Apple, nikoli Frameworks and kódováno místně sami.
  • Omlouvám se, myslel jsem echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Docela nešťastný překlep vzhledem k tomu, o čem ‚ diskutujeme. Podepsal jsem to také svým certifikátem pro vývojáře Mac, nikoli ad hoc certifikátem.

Odpověď

I věřte, že se používá pro iTunes Home Sharing a aplikaci Remote pro ovládání iTunes.

Zjistil jsem to, protože to Little Snitch blokoval a nemohl jsem zjistit, proč vzdálené věci iTunes nefungují, protože Neúmyslně jsem zavřel dialog 🙂

Jakmile jsem to povolil, mohl můj telefon vidět iTunes na mém notebooku a také objevit iTunes Home Sharing.

Komentáře

  • Nikdy jsem na tomto stroji nesynchronizoval zařízení iOS, ale používám domácí sdílení iTunes a mám rapportd běžící s TCP *: 65530 (LISTEN) otevřeným na ipv4 i ipv6, myslel jsem si, že port 65530 je docela drzé vysoké číslo portu jen šest pod nejvyšším možným, ale naštěstí to zní jako legitimní software snad

Odpověď

Napište man rapportd do Terminál. Toto je výstup:

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd 

Odpověď

Z mé vlastní bolesti ^ W zkušenosti Poznám, že tato služba je potřebná alespoň pro přesměrování textových zpráv (předávání), aby fungovala.

Když je blokovaná pomocí Firewallu, například g., nastavuje velký tučný zákaz položky „Přeposílání textových zpráv“ v nastavení iPhonu. Ve skutečnosti tam vůbec nebude zobrazen

sem zadejte popis obrázku

Komentáře

  • Zajímavé. Zablokoval jsem rapportd na mém stroji, ale iMessages i přeposílání textových zpráv pro mě stále fungují dobře. Je možné, že máte i jinou blokovanou službu?
  • Jak jste zablokovali? Zkusili jste restartovat poté, co jste to provedli?
  • Výběrem možnosti „odepřít“, když se vás to zeptá, jak je uvedeno v mé původní otázce (a v nastavení brány firewall je stále uvedena jako blokovaná). A ano, od té doby jsem se mnohokrát restartoval.
  • Můžete to zkontrolovat pomocí nástroje sniffer provozu a / nebo netstat / lsof

Odpověď

Komentáře

  • Upřesněte, co zde pro vás znamená zadní vrátka?
  • 501 je UID, nikoli PID! Je třeba lsof -p 306 pro tento proces
  • omlouvat se za zmatek UID / PID – nyní jsem to ‚ opravil .

Odpověď

Souhlasili jste nedávno s instalací softwaru na ochranu komunikace s vaší bankou? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Komentáře

  • Tento software mě rozčiluje. Vypadá to, že je super těžký a má spoustu zranitelností a ve skutečnosti bezpečnost lidí ještě zhoršuje. Myslím, že se jedná o software Apple, a nikoli o odkaz, který jste zmínili – jen názvy jsou stejné.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *