Ho appena aggiornato allultimo MacOS 10.13.2 e dopo il riavvio, la mia macchina mi ha chiesto di consentire le connessioni di rete in entrata per “rapportd”.
Dopo averlo bloccato e aver controllato la configurazione del firewall, posso vedere che questo è un eseguibile in /usr/libexec/rapportd
che è stato creato sulla mia macchina il 1 ° dicembre.
È un giorno dopo aver installato laggiornamento di sicurezza 2017-001 (per la seconda volta; lautoupdate non sembra aver notato che lho aggiornato manualmente) e non ho installato o aggiornato nessun altro software di recente / in quel periodo. Google Chrome si aggiorna ogni volta che ne ha voglia, quindi potrebbe essere correlato a un aggiornamento di Chrome (non ho idea di quando è stato aggiornato lultima volta).
Internet suggerisce che questo è correlato ad alcuni servizi bancari programma di protezione ma questo non sembra adattarsi qui, e da una vaga ispezione di modifica del testo del binario posso vedere che fa riferimento a /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport
(un framework creato sulla mia macchina in Luglio e aggiornato a ottobre), il che mi fa pensare che si tratti di un nuovo demone del sistema operativo di prima parte.
Cosa fa rapportd?
Commenti
- Ha una pagina man, ma ‘ non è molto utile: ” Sinossi: Daemon fornisce supporto per il framework di connettività Rapport. ”
- 1. Suggerimenti da altrove suggeriscono di fare con i dispositivi Apple locali che si connettono (e risvegliano il Mac dalla sospensione). 2. Cè anche un RapportUIAgent in System / Library / CoreServices. 3. Ci sono 2 agenti di lancio. 4. rapportd esiste in 10.13.0 ma non è attivo. 5. Cè /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Il testo in rapportd.sb e nelleseguibile rapportd include airplay, wifi, bluetooth, pairing e homekit.
- I penso che laltro tuo dispositivo Apple abbia tentato di connettersi al tuo mbp.
- Non ‘ non so molto di questo genere di cose, ma ho notato che il tentativo in arrivo to conect proviene dal mio iPhone (‘ è lindirizzo IP a cui è connesso il mio iPhone).
- Sono venuto qui per il rapporto di servizio bonjour pubblicizzato. Loutput di ” dns-sd -B _services._dns-sd._udp ” è ” _tcp.local. _companion-link ” con errori di ortografia ” Compagnion link ” Tipo di servizio nella rete iNet Scanner. Gli errori di ortografia in servizi Bonjour sconosciuti fanno scattare il mio rilevatore di malware. Anche con Handoff disattivato, questo servizio rimane attivo. Immagino che Apple debba essere in grado di mantenere collegati telefoni / tablet / laptop a tutti i costi. Dopo aver controllato con il codice, immagino che il rapporto sia di prima parte. Perché così oscuro però.
Risposta
La pagina man afferma:
Daemon providing support for the Rapport connectivity framework.
Il controllo della firma del codice con codesign -dv --verbose=4 /usr/libexec/rapportd
mostra che è firmato da Apple e, poiché è collegato a un PrivateFramework (che Apple non consente ad altri) e in un luogo protetto da SIP (a meno che tu non abbia disattivato SIP), questo sembra essere un software Apple legittimo. La pagina man implica che sia correlata alla comunicazione, anche se non ho ancora trovato alcuna documentazione reale su di essa.
(Grazie a John Keates per il suggerimento sulla firma del codice.)
Continuity Camera sul tuo Mac facilita anche rapportd
:
- Nel tuo macOS app di prima parte come Notes.app o Pages.app puoi emettere il comando “Scatta foto”, che apre lapp della fotocamera sul tuo iPhone o iPad.
- Questo attiva anche una connessione in entrata a
rapportd
(circa 1,2 megabyte per ogni foto proveniente da un iPhone 6S, osservata con LittleSnitch )
Commenti
- Solo perché Apple lo ha autorizzato, ‘ non lo fa ” legittimo “. Apple raccoglie e condivide informazioni sui propri utenti con organi di sicurezza statale da ottobre 2012 . Non ‘ non ho un iPhone e non ‘ voglio che sia aperta una falla di sicurezza da condividere con altri dispositivi Apple.
- ” it ‘ è collegato a un PrivateFramework (che Apple non ‘ consente per gli altri) “: Apple ‘ non si preoccupa di questo, a meno che tu ‘ non pianificando di distribuire tramite lApp Store. In effetti, una delle app su cui lavoro si collega a un framework privato e Apple ci ha permesso di firmarlo bene.
Risposta
Oltre a ciò che è già stato pubblicato, / usr / libexec / rapportd è firmato in codice da Apple e collegato a un PrivateFramework (che Apple non consente ad altri e quindi non firma per altri) e in una posizione protetta da SIP. A meno che non disattivi SIP, questo fa semplicemente parte del sistema operativo, messo lì da Apple.
Puoi controllare questo sulla riga di comando:
codesign -vvvv -R="anchor apple" /usr/libexec/rapportd
Dovrebbe riportare qualcosa del tipo:
/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied
Per mostrare a quali librerie sono collegate:
otool -L /usr/libexec/rapportd
Che mostrerà qualcosa del tipo:
/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
Commenti
- ” che Apple ‘ non consente ad altri e pertanto ‘ t firma per altri “: prova tu stesso; ‘ vedrai che funziona perfettamente:
echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
- PrivateFrameworks e code firmato da Apple, non Frameworks e codificato localmente da te.
- Mi spiace, intendevo
echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
. Un errore di battitura piuttosto sfortunato dato ciò di cui ‘ stiamo discutendo. Inoltre, lho firmato con il mio certificato di sviluppatore Mac, non uno ad-hoc.
Answer
I credo che sia usato per Condivisione in famiglia di iTunes e lapp Remote per controllare iTunes.
Lho scoperto perché Little Snitch lo stava bloccando e non sono riuscito a capire perché le cose remote di iTunes non funzionavano perché Ho chiuso accidentalmente la finestra di dialogo 🙂
Una volta che lho autorizzata, il mio telefono potrebbe vedere iTunes sul mio laptop e scoprire iTunes Home Sharing.
Commenti
- ‘ non ho mai sincronizzato un dispositivo iOS su questa macchina ma utilizzo la condivisione domestica di iTunes e ho
rapportd
in esecuzione con TCP *: 65530 (LISTEN) aperto su ipv4 e ipv6, pensavo che la porta 65530 fosse un numero di porta piuttosto sfacciato, appena sei sotto il più alto possibile, ma per fortuna suona come un software legittimo, si spera
Risposta
Digita man rapportd
in Terminale. Questo è il risultato:
NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd
Risposta
Dal mio dolore ^ W esperienza posso dire che questo servizio è necessario almeno perché linoltro (relaying) di messaggi di testo funzioni.
Avendolo bloccato con Firewall, per e. g., mette un grande divieto in grassetto alla voce “Inoltro di messaggi di testo” nelle impostazioni di iPhone. In effetti non sarà nemmeno mostrata lì
Commenti
- Interessante. Ho bloccato il rapporto sulla mia macchina ma sia iMessage che linoltro dei messaggi di testo funzionano ancora bene per me. È possibile che tu abbia anche un altro servizio bloccato?
- Come lhai bloccato? Hai provato a riavviare dopo averlo fatto?
- Scegliendo “nega” quando è stato chiesto, come indicato nella mia domanda originale (ed è ancora elencato come bloccato nelle impostazioni del firewall). E sì, da allora ho riavviato molte volte.
- Puoi controllare con lo sniffer di traffico e / o
netstat
/lsof
Risposta
Commenti
- Per favore, approfondisci cosa significa per te una backdoor qui?
- 501 è lUID, non il PID! Devi
lsof -p 306
per questo processo - scusa per la confusione UID / PID – I ‘ lho corretto ora .
Risposta
Hai recentemente accettato di installare software per proteggere le comunicazioni con la tua banca? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport
Commenti
- Quel software mi fa rabbrividire. Sembra essere super pesante e ha tonnellate di vulnerabilità e in effetti peggiora la sicurezza delle persone. Penso che questo sia il software Apple, tuttavia, e non il link che hai citato, solo che i nomi sono gli stessi.