januar 29, 2021
Articles
Ingen kommentarer

Hvad er rapport og hvorfor ønsker det indgående netværksforbindelser?

Jeg er lige opdateret til den nyeste MacOS 10.13.2, og efter genstart, bad min maskine mig om at tillade indgående netværksforbindelser til “rapportd”.

Efter at have blokeret det og kontrolleret firewallkonfigurationen kan jeg se, at dette er en eksekverbar fil i /usr/libexec/rapportd, som blev oprettet på min maskine den 1. december.

Det “en dag efter, at jeg installerede sikkerhedsopdateringen 2017-001 (for anden gang; autoupdate syntes ikke at bemærke, at jeg manuelt opdaterede den), og jeg har ikke installeret eller opdateret andre software for nylig / omkring det tidspunkt. Google Chrome opdateres, når det føles som det, så dette kan være relateret til en Chrome-opdatering (ingen idé, hvornår den sidst blev opdateret).

Internettet antyder, at dette er relateret til nogle banker beskyttelsesprogram, men det ser ikke ud til at passe her, og fra en vag tekstredigeringsinspektion af binæret kan jeg se, at den refererer til /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (en ramme oprettet på min maskine tilbage i Juli og opdateret i oktober), hvilket får mig til at tro, at dette sandsynligvis vil være en ny 1.-parts OS-dæmon.

Hvad gør rapportd?

Kommentarer

  • Den har en manpage, men den ‘ er ikke særlig nyttig: ” Synopsis: Daemon giver support til Rapport-forbindelsesrammen. ”
  • 1. Tip fra andre steder antyder at gøre med lokale Apple-enheder, der forbinder (og vækker Mac fra søvn). 2. Der er også en RapportUIAgent i System / Library / CoreServices. 3. Der er 2 lanceringsagenter. 4. rapportd findes i 10.13.0 men ikke aktiv. 5. Der er /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Tekst i rapportd.sb og i rapportd eksekverbar inkluderer airplay, wifi, bluetooth, parring og homekit.
  • I tror det var din anden apple-enhed, der forsøgte at oprette forbindelse til din mbp.
  • Don ‘ ved ikke meget om denne slags ting, men har bemærket, at det indgående forsøg at conect kommer fra min iPhone (det ‘ er den IP-adresse, min iPhone er tilsluttet).
  • Jeg kom her på grund af bonjour-tjenesterapporten reklamerer for. Outputtet fra ” dns-sd -B _services._dns-sd._udp ” er ” _tcp.local. _companion-link ” som er stavet forkert som ” Compagnion link ” Servicetype i iNet-netværk Scanner. Stavefejl i ukendte Bonjour-tjenester udløser min malware-detektor. Selv med Handoff slået fra, forbliver denne service kørende. Jeg antager, at Apple skal være i stand til at holde telefoner / tablets / bærbare computere tilsluttet for enhver pris. Efter at have tjekket med kodesign, antager jeg, at rapportd er første part. Hvorfor dog så uklar.

Svar

Man-siden siger:

Daemon providing support for the Rapport connectivity framework.

Kontrol af kodesignaturen med codesign -dv --verbose=4 /usr/libexec/rapportd viser, at den er underskrevet af Apple, og da den er linket til et PrivateFramework (som Apple ikke tillader andre) og på et SIP-beskyttet sted (medmindre du slukkede for SIP), synes dette at være legitim Apple-software. Mandsiden antyder, at den er relateret til kommunikation, selvom jeg endnu ikke har fundet nogen reel dokumentation om den.

(Tak til John Keates for tip til kodesignatur.)

Kontinuitetskamera på din Mac letter også rapportd:

  • I din macOS førstepartsapps såsom Notes.app eller Pages.app kan du udstede kommandoen “Tag billede”, som åbner kameraappen på din iPhone eller iPad.
  • Dette udløser også en indgående forbindelse til rapportd (ca. 1,2 Megabyte for hvert foto, der kommer fra en iPhone 6S, observeret med LittleSnitch )

Kommentarer

  • Bare fordi Apple godkendte det, gør det ikke ‘ det ” legitim “. Apple har indsamlet og delt oplysninger om sine brugere med statens sikkerhedsorganer siden oktober 2012 . Jeg har ‘ ikke en iPhone og don ‘ Jeg vil ikke have et sikkerhedshul åbent for at dele med andre Apple-enheder.
  • ” det ‘ er knyttet til et PrivateFramework (hvilket Apple ikke tillader ‘ t tillader for andre) “: Apple ‘ bryr sig ikke om dette, medmindre du ‘ planlægger at distribuere gennem App Store. Faktisk en af de apps, jeg arbejder på, linker til en privat ramme, og Apple lad os underskrive det fint.

Svar

Ud over det, der allerede er sendt, er / usr / libexec / rapportd kode underskrevet af Apple og linket til et PrivateFramework (som Apple ikke tillader andre og derfor ikke underskriver for andre) og på et SIP-beskyttet sted. Medmindre du slukker for SIP, er dette simpelthen en del af operativsystemet, der er sat af Apple.

Du kan kontrollere dette på kommandolinjen: 

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Dette skal rapportere noget som: 

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied

For at vise, hvilke biblioteker der er knyttet til: 

otool -L /usr/libexec/rapportd

Hvilket vil se ud som: 

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

Kommentarer

  • ” hvilket Apple ikke ‘ t tillader andre og derfor ikke ‘ t tegner for andre “: Prøv det selv; du ‘ vil se, at det fungerer fint: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, og kodesignet af Apple, ikke Frameworks og kodesignet lokalt af dig selv.
  • Undskyld, jeg mente echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. En temmelig uheldig stavefejl givet det, vi ‘ diskuterer. Jeg har også underskrevet dette med mit Mac Developer-certifikat, ikke et ad hoc-certifikat.

Svar

I tror, det bruges til iTunes Home Sharing og Remote-appen til at kontrollere iTunes.

Jeg fandt ud af det, fordi Little Snitch blokerede det, og jeg kunne ikke finde ud af, hvorfor iTunes-fjernbetjeningen ikke fungerede, fordi Jeg lukkede ved et uheld dialogen 🙂

Når jeg tillod det, kunne min telefon derefter se iTunes på min bærbare computer samt opdage iTunes Home Sharing.

Kommentarer

  • Jeg ‘ har aldrig synkroniseret en iOS-enhed på denne maskine, men jeg bruger iTunes hjemmedeling og har rapportd kører med TCP *: 65530 (LISTEN) åben på både ipv4 og ipv6, jeg troede, port 65530 var et ret frækt højt portnummer lige seks under det højest mulige, men heldigvis lyder det som legit software forhåbentlig

Svar

Skriv man rapportd i Terminal. Dette er output: 

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd

Svar

Fra min egen smerte ^ W erfaring Jeg kan fortælle, at denne service er nødvendig mindst for at videresendelse af sms (videresendelse) skal fungere.

At have den blokeret med Firewall, f.eks. g., sætter et stort dristigt forbud mod “Videresendelse af tekstbesked” i iPhones indstillinger. Faktisk bliver det overhovedet ikke vist

indtast billedebeskrivelse her

Kommentarer

  • Interessant. Jeg har blokeret rapport på min maskine, men både iMessages og videresendelse af smser fungerer stadig godt for mig. Er det muligt, at du også har en anden blokeret tjeneste?
  • Hvordan blokerede du? Forsøgte du at genstarte, efter at du havde gjort det?
  • Ved at vælge “benægt”, da den spurgte, som nævnt i mit originale spørgsmål (og det er stadig angivet som blokeret i firewallindstillingerne). Og ja, jeg har genstartet mange gange siden da.
  • Du kan helt sikkert kontrollere med trafiksniffer og / eller netstat / lsof

Svar

Kommentarer

  • Uddyb hvad en bagdør betyder for dig her?
  • 501 er UID, ikke PID! Du skal lsof -p 306 for denne proces
  • undskyld for UID / PID-forvirring – Jeg ‘ har rettet det nu .

Svar

Har du for nylig aftalt at installere software til at beskytte kommunikation med din bank? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Kommentarer

  • Denne software får mig til at krybe sammen. Det ser ud til at være supertungt og har masser af sårbarheder og faktisk gør folks sikkerhed langt værre. Jeg tror dog, det er Apple-software og ikke det link, du nævnte – bare at navnene er de samme.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *