januar 29, 2021
Articles
Ingen kommentarer

Hva er rapportd og hvorfor ønsker det innkommende nettverkstilkoblinger?

Jeg har nettopp oppdatert til den siste MacOS 10.13.2, og etter omstart ba maskinen min meg om å tillate innkommende nettverkstilkoblinger for «rapportd».

Etter å ha blokkert den og sjekket inn brannmurkonfigurasjonen, kan jeg se at dette er en kjørbar fil i /usr/libexec/rapportd som ble opprettet på maskinen min 1. desember.

Det «en dag etter at jeg installerte sikkerhetsoppdateringen 2017-001 (for andre gang; automatisk oppdatering syntes ikke å legge merke til at jeg oppdaterte den manuelt), og jeg har ikke installert eller oppdatert noen andre programvare nylig / rundt den tiden. Google Chrome oppdateres når det føles som det, så dette kan være relatert til en Chrome-oppdatering (ingen anelse når den sist ble oppdatert).

Internett antyder at dette er relatert til noe bankvirksomhet beskyttelsesprogram, men det ser ikke ut til å passe her, og fra en vag tekstredigeringsinspeksjon av binæren kan jeg se at den refererer til /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (et rammeverk opprettet på maskinen min tilbake i Juli og oppdatert i oktober) som får meg til å tro at dette sannsynligvis vil være en ny 1.-parts OS-demon.

Hva gjør rapportd?

Kommentarer

  • Den har en manpage, men den ‘ er ikke veldig nyttig: » Synopsis: Daemon gir støtte for Rapport-tilkoblingsrammeverket. »
  • 1. Tips fra andre steder antyder å gjøre med lokale Apple-enheter som kobler til (og vekker Mac fra søvn). 2. Det er også en RapportUIAgent i System / Library / CoreServices. 3. Det er to lanseringsagenter. 4. rapportd eksisterer i 10.13.0 men ikke aktiv. 5. Det er /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Tekst i rapportd.sb og i rapportd kjørbar inkluderer airplay, wifi, bluetooth, sammenkobling og hjemmekit.
  • I tror det var den andre epleenheten din som prøvde å koble til mbp-en din.
  • Don ‘ vet ikke mye om denne typen ting, men har lagt merke til at det innkommende forsøket to conect kommer fra iPhone-en min (den ‘ er IP-adressen min iPhone er koblet til).
  • Jeg kom hit på grunn av bonjour-tjenesterapporten som annonseres. Utgangen fra » dns-sd -B _services._dns-sd._udp » er » _tcp.local. _companion-link » som er feilstavet som » Compagnion link » Servicetype i iNet Network Skanner. Stavefeil i ukjente Bonjour-tjenester utløser skadevarseldetektoren min. Selv med Handoff av, fortsetter denne tjenesten. Jeg antar at Apple må kunne holde telefoner / nettbrett / bærbare datamaskiner tilkoblet for enhver pris. Etter å ha sjekket med kodesign antar jeg at rapportd er første part. Hvorfor så uklar skjønt.

Svar

Mannsiden sier:

Daemon providing support for the Rapport connectivity framework.

Kontrollerer kodesignaturen med codesign -dv --verbose=4 /usr/libexec/rapportd viser at den er signert av Apple og siden den er koblet mot et PrivateFramework (som Apple ikke tillater for andre) og på et SIP-beskyttet sted (med mindre du har slått av SIP), ser dette ut til å være legitim Apple-programvare. Mannsiden antyder at den er relatert til kommunikasjon, selv om jeg ennå ikke har funnet noen reell dokumentasjon om den.

(Takk til John Keates for tipset om kodesignatur.)

Kontinuitetskamera på din Mac letter også rapportd:

  • I macOS førstepartsapper som Notes.app eller Pages.app kan du utstede kommandoen «Ta bilde», som åpner kameraappen på iPhone eller iPad.
  • Dette utløser også en innkommende forbindelse til rapportd (ca. 1,2 megabyte for hvert bilde som kommer fra en iPhone 6S, observert med LittleSnitch )

Kommentarer

  • Bare fordi Apple autoriserte det, gjør ikke ‘ det til » legitime «. Apple har samlet og delt informasjon om sine brukere med statlige sikkerhetsorganer siden oktober 2012 . Jeg har ikke ‘ ikke en iPhone og ikke ‘ Jeg vil ikke ha et sikkerhetshull som kan deles med andre Apple-enheter.
  • » det ‘ er koblet mot et PrivateFramework (som Apple ikke tillater ‘ t tillater for andre) «: Apple bryr seg ikke om ‘, med mindre du ‘ planlegger å distribuere gjennom App Store. Faktisk, en av appene jeg jobber med, lenker til et privat rammeverk, og Apple lar oss signere det helt fint.

Svar

I tillegg til det som allerede er lagt ut, er / usr / libexec / rapportd kode signert av Apple og koblet mot et PrivateFramework (som Apple ikke tillater for andre og derfor ikke signerer for andre), og på et SIP-beskyttet sted. Med mindre du slår av SIP, er dette ganske enkelt en del av operativsystemet, satt der av Apple.

Du kan sjekke dette på kommandolinjen: 

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Dette skal rapportere noe sånt som: 

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied

For å vise hva biblioteker er knyttet til: 

otool -L /usr/libexec/rapportd

Som viser noe sånt som: 

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

Kommentarer

  • » som Apple ikke tillater ‘ t for andre og derfor ikke ‘ t tegner for andre «: Prøv det selv; du ‘ Du ser at det fungerer helt fint: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, og kodesignet av Apple, ikke Frameworks og kodesignert lokalt av deg selv.
  • Beklager, jeg mente echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. En ganske uheldig skrivefeil gitt det vi ‘ diskuterer. Dessuten signerte jeg dette med Mac-utvikler-sertifikatet mitt, ikke et ad-hoc-bevis.

Svar

Jeg tror det brukes til iTunes Home Sharing og Remote-appen for å kontrollere iTunes.

Jeg fant ut av dette fordi Little Snitch blokkerte det og jeg ikke kunne finne ut hvorfor iTunes-eksterne ting ikke fungerte fordi Jeg lukket ved et uhell dialogen 🙂

Når jeg tillot det, kunne telefonen min se iTunes på den bærbare datamaskinen min, så vel som å oppdage iTunes Home Sharing.

Kommentarer

  • Jeg ‘ har aldri synkronisert en iOS-enhet på denne maskinen, men jeg bruker iTunes hjemmedeling og har rapportd kjører med TCP *: 65530 (LISTEN) åpen på både ipv4 og ipv6, jeg syntes port 65530 var et ganske frekt høyt portnummer bare seks under høyest mulig, men heldigvis høres det ut som legit programvare forhåpentligvis

Svar

Skriv man rapportd i Terminal. Dette er utdataene: 

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd

Svar

Fra min egen smerte ^ W erfaring Jeg kan fortelle at denne tjenesten er nødvendig minst for videresending av tekstmeldinger (videresending) til å fungere.

Å ha den blokkert med brannmur, for f.eks. , setter et stort dristig forbud mot «Tekstmelding videresending» element i iPhone innstillinger. Faktisk vil det ikke vises i det hele tatt der

skriv inn bildebeskrivelse her

Kommentarer

  • Interessant. Jeg har blokkert rapporten på maskinen min, men både iMessages og videresending av tekstmeldinger fungerer fortsatt bra for meg. Er det mulig at du også har en annen blokkert tjeneste?
  • Hvordan blokkerte du? Forsøkte du å starte på nytt etter at du gjorde det?
  • Ved å velge «benekt» når den spurte, som nevnt i det opprinnelige spørsmålet mitt (og det er fremdeles oppført som blokkert i brannmurinnstillingene). Og ja, jeg har startet om mange ganger siden da.
  • Du kan sjekke sikkert med trafikksniffer og / eller netstat / lsof

Svar

Kommentarer

  • Vennligst utfør hva bakdør betyr for deg her?
  • 501 er UID, ikke PID! Du må lsof -p 306 for denne prosessen
  • beklager UID / PID-forvirringen – Jeg ‘ har korrigert det nå .

Svar

Har du nylig avtalt å installere programvare for å beskytte kommunikasjonen med banken din? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Kommentarer

  • Den programvaren får meg til å krype. Det ser ut til å være super tungt og har mange sårbarheter, og gjør faktisk folks sikkerhet langt verre. Jeg tror imidlertid dette er Apple-programvare og ikke lenken du nevnte – bare at navnene er de samme.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *