janvier 29, 2021
Articles
Aucun commentaire

Quest-ce que rapportd et pourquoi veut-il des connexions réseau entrantes?

Je viens de mettre à jour la dernière version de MacOS 10.13.2 et après le redémarrage, ma machine ma demandé dautoriser les connexions réseau entrantes pour « rapportd ».

Après lavoir bloqué et vérifié la configuration du pare-feu, je peux voir quil sagit dun exécutable dans /usr/libexec/rapportd qui a été créé sur ma machine le 1er décembre.

Cest un jour après avoir installé la mise à jour de sécurité 2017-001 (pour la deuxième fois; la mise à jour automatique ne semble pas avoir remarqué que je lavais mise à jour manuellement), et je nai pas installé ou mis à jour une autre logiciel récemment / à peu près à cette époque. Google Chrome se met à jour quand bon lui semble, donc cela pourrait être lié à une mise à jour de Chrome (aucune idée de la date de sa dernière mise à jour).

Internet suggère que cela est lié à certaines opérations bancaires programme de protection, mais cela ne semble pas convenir ici, et à partir d’une vague inspection d’édition de texte du binaire, je peux voir qu’il fait référence à /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (un cadre créé sur ma machine Juillet et mis à jour en octobre), ce qui me fait penser quil sagit probablement dun nouveau démon de système dexploitation propriétaire.

Que fait rapportd?

Commentaires

  • Il a une page de manuel, mais ‘ nest pas très utile:  » Synopsis: Daemon fournit un support pour le cadre de connectivité Rapport.  »
  • 1. Des indices venus dailleurs suggèrent de voir les appareils Apple locaux se connecter (et sortir le Mac du mode veille). 2. Il existe également un RapportUIAgent dans System / Library / CoreServices. 3. Il y a 2 agents de lancement. 4. rapportd existe dans 10.13.0 mais nest pas actif. 5. Il y a /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Le texte dans rapportd.sb et dans lexécutable rapportd inclut airplay, wifi, bluetooth, appairage et homekit.
  • I pense que cest votre autre appareil Apple qui a essayé de se connecter à votre mbp.
  • Don ‘ Je ne sais pas grand-chose sur ce genre de choses, mais jai remarqué que la tentative entrante pour se connecter vient de mon iPhone (cest ‘ ladresse IP que mon iPhone est connecté).
  • Je suis venu ici à cause du service bonjour annoncé par rapportd. La sortie de  » dns-sd -B _services._dns-sd._udp  » est  » _tcp.local. _companion-link  » qui est mal orthographié comme  » Compagnion link  » Type de service dans le réseau iNet Scanner. Les fautes dorthographe dans les services Bonjour inconnus déclenchent mon détecteur de logiciels malveillants. Même avec Handoff désactivé, ce service reste en cours dexécution. Jimagine quApple doit pouvoir garder les téléphones / tablettes / ordinateurs portables connectés à tout prix. Après vérification avec codesign, je suppose que rapportd est la première partie. Pourquoi si obscur cependant.

Réponse

La page de manuel indique:

Daemon providing support for the Rapport connectivity framework.

La vérification de la signature du code avec codesign -dv --verbose=4 /usr/libexec/rapportd montre quil est signé par Apple et, puisquil est lié à un PrivateFramework (ce quApple nautorise pas pour les autres) et dans un emplacement protégé par SIP (à moins que vous nayez désactivé SIP), cela semble être un logiciel Apple légitime. La page de manuel implique que cest lié à la communication, même si je nai pas encore trouvé de documentation réelle.

(Merci à John Keates pour le conseil de signature de code.)

Continuity Camera sur votre Mac facilite également rapportd:

  • Dans votre macOS applications propriétaires telles que Notes.app ou Pages.app, vous pouvez lancer la commande « Prendre une photo », qui ouvre lapplication appareil photo sur votre iPhone ou iPad.
  • Cela déclenche également une connexion entrante vers rapportd (environ 1,2 Mo pour chaque photo provenant dun iPhone 6S, observé avec LittleSnitch )

Commentaires

  • Tout simplement parce quApple la autorisé, ‘ t le rend  » légitime « . Apple collecte et partage des informations sur ses utilisateurs avec les organes de sécurité de l’État depuis octobre 2012 . Je ne ‘ Je nai pas diPhone et je ne ‘ Je ne veux pas de trou de sécurité ouvert à partager avec dautres appareils Apple.
  •  » il ‘ est lié à un PrivateFramework (ce quApple ne permet pas ‘ pour les autres) « : Apple ne ‘ sen soucie pas, sauf si vous ‘ re prévoit de distribuer via lApp Store. En fait, lune des applications sur lesquelles je travaille est liée à un cadre privé et Apple nous a laissé le signer très bien.

Réponse

En plus de ce qui a déjà été publié, / usr / libexec / rapportd est un code signé par Apple et lié à un PrivateFramework (quApple ne permet pas aux autres et donc ne signe pas pour les autres), et dans un emplacement protégé par SIP. Sauf si vous désactivez SIP, cela fait simplement partie du système dexploitation, mis là par Apple.

Vous pouvez vérifier cela sur la ligne de commande: 

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Cela devrait signaler quelque chose comme: 

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied

Pour montrer à quelles bibliothèques sont liées: 

otool -L /usr/libexec/rapportd

Ce qui affichera quelque chose comme: 

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

Commentaires

  •  » quApple nautorise ‘ t pour les autres et par conséquent ne ‘ signe t pour les autres « : essayez-le vous-même; ‘ vous verrez que cela fonctionne très bien: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, et codé par Apple, pas Frameworks et codé localement par vous-même.
  • Désolé, je voulais dire echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Une faute de frappe plutôt malheureuse étant donné ce dont nous ‘ discutons. De plus, je lai signé avec mon certificat de développeur Mac, pas un certificat ad hoc.

Réponse

I Je pense quil est utilisé pour le partage à domicile iTunes et lapplication Remote pour contrôler iTunes.

Jai découvert cela parce que Little Snitch le bloquait et je ne pouvais pas comprendre pourquoi la télécommande iTunes ne fonctionnait pas parce que Jai accidentellement fermé la boîte de dialogue 🙂

Une fois que je lai autorisé, mon téléphone pouvait voir iTunes sur mon ordinateur portable et découvrir le partage à domicile iTunes.

Commentaires

  • Je ‘ nai jamais synchronisé un appareil iOS sur cette machine mais jutilise le partage à domicile iTunes et jai rapportd fonctionnant avec TCP *: 65530 (LISTEN) ouvert à la fois sur ipv4 et ipv6, je pensais que le port 65530 était un numéro de port assez effronté, juste six en dessous du plus élevé possible, mais heureusement, cela ressemble à un logiciel légitime, espérons-le

Réponse

Tapez man rapportd dans Terminal. Voici le résultat: 

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd

Answer

De ma propre douleur ^ W expérience Je peux dire que ce service est nécessaire au moins pour que le transfert de message texte (relais) fonctionne.

L’avoir bloqué avec le pare-feu, pour e. g., met une interdiction en gras sur lélément « Transfert de message texte » dans les paramètres de liPhone. En fait, il « ne sera même pas affiché du tout là-bas

entrez la description de limage ici

Commentaires

  • Intéressant. Jai bloqué rapportd sur ma machine mais les iMessages et le transfert de SMS fonctionnent toujours bien pour moi. Est-il possible que vous ayez également un autre service bloqué?
  • Comment avez-vous bloqué? Avez-vous essayé de redémarrer après avoir fait cela?
  • En choisissant «refuser» quand il a demandé, comme indiqué dans ma question initiale (et il est toujours répertorié comme bloqué dans les paramètres du pare-feu). Et oui, jai redémarré plusieurs fois depuis.
  • Vous pouvez vérifier avec un sniffer de trafic et / ou netstat / lsof

Réponse

Commentaires

  • Veuillez expliquer ce que signifie une porte dérobée pour vous ici?
  • 501 est lUID, pas le PID! Vous devez lsof -p 306 pour ce processus
  • désolé pour la confusion UID / PID – Je ‘ lai corrigé maintenant .

Réponse

Avez-vous récemment accepté dinstaller un logiciel pour protéger les communications avec votre banque? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Commentaires

  • Ce logiciel me fait grincer des dents. Il semble être très lourd et avoir des tonnes de vulnérabilités et aggrave en fait la sécurité des personnes. Cependant, je pense que cest un logiciel Apple et non le lien que vous avez mentionné – juste que les noms sont les mêmes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *