Mi az a rapportd, és miért akar bejövő hálózati kapcsolatokat?

Most frissültem a legújabb MacOS 10.13.2-re, és az újraindítás után a gépem arra kért, hogy engedélyezzem a bejövő hálózati kapcsolatokat a “rapportd” számára.

A blokkolás és a tűzfal beállításainak ellenőrzése után látom, hogy ez egy futtatható fájl a /usr/libexec/rapportd fájlban, amelyet december 1-én hoztak létre a gépemen.

Az a nap a 2017-001-es biztonsági frissítés telepítése után (másodszor; úgy tűnik, hogy az automatikus frissítés nem vette észre, hogy manuálisan frissítettem volna), és nem telepítettem vagy frissítettem másokat szoftver a közelmúltban / annak idején. A Google Chrome bármikor frissít, amikor kedve van hozzá, ezért ez összefüggésben lehet egy Chrome-frissítéssel (fogalmam sincs, mikor frissült utoljára).

Az internet szerint ez néhány banki tevékenységhez kapcsolódik. védelmi program, de úgy tűnik, hogy ez nem illik ide, és a bináris szöveg homályos szövegszerkesztési vizsgálatából azt látom, hogy hivatkozik a /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport -re (egy olyan keretrendszerre, amelyet a gépemen hoztak létre Július és frissítve októberben), ami azt gondolja, hogy ez valószínűleg egy új, első féltől származó OS démon lesz.


Mit csinál a rapportd?

Megjegyzések

  • Van egy oldala, de ‘ nem túl hasznos: ” Szinopszis: Támogatást nyújtó démon a Rapport csatlakozási keretrendszerhez. ”
  • 1. A máshonnan érkező tippek azt javasolják, hogy a helyi Apple eszközök csatlakozzanak (és a Macet alvásból felébresszék). 2. Van egy RapportUIAgent is a System / Library / CoreServices szolgáltatásban. 3. Két indító ügynök van. 4. A rapportd létezik a 10.13.0 verzióban, de nem aktív. 5. Van /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. A rapportd.sb és a rapportd futtatható fájl szövege tartalmaz airplay, wifi, bluetooth, párosítást és homekit.
  • I úgy gondolja, hogy a másik Apple készüléke próbált csatlakozni az mbp-jéhez.
  • Don ‘ nem sokat tud az ilyen dolgokról, de észrevette, hogy a bejövő kísérlet conect jön az iPhone-ról (ez ‘ s az IP-címem, amelyhez az iPhone-m van csatlakoztatva).
  • Azért jöttem ide, mert a rapj hirdet a bonjour szolgáltatást. A ” dns-sd -B _services._dns-sd._udp ” kimenete ” _tcp.local. _companion-link “, amelyet hibásan írtak ” Összekapcsolási link ” Szolgáltatás típusa az iNet hálózatban Scanner. Az ismeretlen Bonjour-szolgáltatások elírásai elrontják a rosszindulatú program-érzékelőmet. Ez a szolgáltatás még kikapcsolt átadás nélkül is működik. Gondolom, az Apple-nek mindenáron képesnek kell lennie a telefonok / táblagépek / laptopok csatlakoztatására. Miután kódjelzéssel ellenőriztem, azt hiszem, a rapportd az első fél. Miért olyan homályos.

Válasz

A man oldal azt állítja:

Daemon providing support for the Rapport connectivity framework.

A kód aláírásának ellenőrzése a codesign -dv --verbose=4 /usr/libexec/rapportd paranccsal azt mutatja, hogy az Apple aláírta, és mivel egy PrivateFramework-hez kapcsolódik (amelyet az Apple nem engedélyez másoknak), és SIP által védett helyen (hacsak nem kapcsolta ki a SIP-t), ez úgy tűnik, hogy az Apple legális szoftvere. A man oldal azt jelenti, hogy a kommunikációval kapcsolatos, bár még nem találtam rá valódi dokumentációt.

(Köszönet John Keates-nek a kód-aláírás tippért.)

Folyamatos kamera a Mac-en szintén elősegíti a rapportd:

  • MacOS-ban az első féltől származó alkalmazások, például a Notes.app vagy a Pages.app, kiadhatja a “Fotó készítése” parancsot, amely megnyitja a kamera alkalmazást iPhone vagy iPad eszközén.
  • Ez szintén bejövő kapcsolatot indít a rapportd (kb. 1,2 megabájt minden iPhone 6S-ből származó fényképért, megfigyelhető LittleSnitch esetén)

Megjegyzések

  • Csak azért, mert az Apple engedélyezte, nem ‘ teszi ” legitim “. Az Apple 2012 októbere óta gyűjti és megosztja a felhasználóival kapcsolatos információkat az állambiztonsági szervekkel . Nem ‘ nincs iPhone-m, és nem akarok ‘ biztonsági rést nyitni, amelyet meg lehetne osztani más Apple-eszközökkel.
  • ” ez ‘ egy PrivateFramework-hez kapcsolódik (amelyet az Apple nem enged meg ‘ mások számára) “: Az Apple nem törődik ezzel ‘, kivéve, ha ‘ újra terjesztést tervez az App Store-on keresztül. Valójában az egyik alkalmazás, amelyen dolgozom, privát keretrendszerhez kapcsolódik, és az Apple lehetővé tette, hogy remekül aláírjuk.

Válasz

A már közzétetteken kívül az / usr / libexec / rapportd kódot is aláírta Az Apple és egy PrivateFramework-hez (amelyet az Apple nem engedélyez másoknak, ezért nem ír alá másoknak), és SIP által védett helyen. Hacsak nem kapcsolja ki a SIP-t, ez egyszerűen az operációs rendszer része, amelyet az Apple adott.

Ezt a parancssorban ellenőrizheti:

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd 

Ennek valami ilyesmit kell jelentenie:

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied 

A könyvtárakhoz kapcsolódó linkek megjelenítése:

otool -L /usr/libexec/rapportd 

Ami ilyesmit mutat:

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0) 

Megjegyzések

  • ” amelyet az Apple nem enged meg ‘ nem engedélyezni másoknak, ezért nem írja le ‘ t másoknak “: Próbálja ki maga; ‘ látni fogja, hogy ez nagyon jól működik: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, és az Apple által kódolt, nem a Frameworks és kódolt, amelyet Ön maga írt le.
  • Sajnálom, a echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test -re gondoltam. Meglehetősen szerencsétlen elírási hiba, tekintettel arra, amit ‘ megbeszélünk. Ezt a Mac fejlesztői tanúsítvánnyal írtam alá, nem pedig ad-hoc tanúsítvánnyal.

Válasz

I hiszem, hogy az iTunes otthoni megosztására és a Remote alkalmazásra használják az iTunes vezérlését.

Ezt azért találtam ki, mert a Little Snitch blokkolta, és nem tudtam kideríteni, miért nem működnek az iTunes távoli dolgai, mert Véletlenül bezártam a párbeszédpanelt 🙂

Miután engedélyeztem, a telefonom láthatta az iTunes-t a laptopomon, valamint felfedezhette az iTunes Home Sharing szolgáltatást.

Megjegyzések

  • Én ‘ soha nem szinkronizáltam iOS-eszközt ezen a gépen, de az iTunes otthoni megosztását használom, és rapportd TCP-vel fut *: 65530 (LISTEN) nyitva mind az ipv4-en, mind az ipv6-on, azt hittem, hogy a 65530-as port elég pofátlan magas port szám, csak hat a lehető legmagasabb alatt, de szerencsére ez legit szoftvernek tűnik remélhetőleg

Válasz

Írja be a man rapportd Terminál. Ez a kimenet:

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd 

Válasz

Saját fájdalmamból W tapasztalat Azt mondhatom, hogy erre a szolgáltatásra legalább szükség van a szöveges üzenetek továbbításának (továbbításának) működéséhez.

Letiltása a tűzfalon, pl. pl. nagy merész betiltást tesz a „Szöveges üzenet továbbítás” elemre az iPhone beállításaiban. Valójában ez egyáltalán nem jelenik meg ott

írja ide a kép leírását

Megjegyzések

  • Érdekes. Letiltottam a rapportd-t a gépemen, de az iMessages és a szöveges üzenetek továbbítása továbbra is jól működik számomra. Lehetséges, hogy van másik letiltott szolgáltatása is?
  • Hogyan blokkolta? Megpróbálta újraindítani, miután ezt megtette?
  • Azzal, hogy az „elutasítás” lehetőséget választotta, amikor azt kérdezte, amint azt az eredeti kérdésem megjegyezte (és a tűzfal beállításaiban továbbra is blokkoltként szerepel). És igen, azóta sokszor újraindítottam.
  • Biztosan ellenőrizheti a forgalom szippantásával és / vagy netstat / lsof

Válasz

Megjegyzések

  • Kérjük, részletezze, mit jelent itt Önnek a hátsó ajtó?
  • 501 az UID, nem a PID! Ehhez a folyamathoz lsof -p 306 kell
  • elnézést az UID / PID zavartságért – én most kijavítottam ‘ .

Válasz

Nemrégiben vállalta, hogy szoftvert telepít a bankjával folytatott kommunikáció védelme érdekében? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Megjegyzések

  • Ez a szoftver megrekedt. Úgy tűnik, hogy nagyon nehéz és rengeteg sebezhetőséggel rendelkezik, és valójában sokkal rosszabbá teszi az emberek biztonságát. Azt hiszem, ez azonban az Apple szoftver, és nem az Ön által említett link – csak hogy a nevek ugyanazok.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük