januari 29, 2021
Articles
Geen reacties

Wat is rapportd en waarom wil het inkomende netwerkverbindingen?

Ik “heb net geüpdatet naar de laatste versie van MacOS 10.13.2 en na het herstarten vroeg mijn machine me om inkomende netwerkverbindingen toe te staan voor” rapportd “.

Nadat ik het heb geblokkeerd en de firewallconfiguratie heb ingecheckt, kan ik zien dat dit een uitvoerbaar bestand is in /usr/libexec/rapportd dat op 1 december op mijn computer is gemaakt.

Dat is een dag nadat ik de beveiligingsupdate 2017-001 heb geïnstalleerd (voor de tweede keer; autoupdate leek niet te merken dat ik het handmatig had bijgewerkt), en ik heb geen andere geïnstalleerd of bijgewerkt. software recent / rond die tijd. Google Chrome wordt bijgewerkt wanneer het maar wilt, dus dit kan te maken hebben met een Chrome-update (geen idee wanneer deze voor het laatst is bijgewerkt).

Het internet suggereert dat dit te maken heeft met bankieren beschermingsprogramma, maar dat lijkt hier niet te passen, en uit een vage tekstbewerkingsinspectie van het binaire bestand kan ik zien dat het verwijst naar /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (een framework gemaakt op mijn machine terug in Juli en bijgewerkt in oktober), waardoor ik denk dat dit waarschijnlijk een nieuwe first-party OS-daemon is.

Wat doet rapportd?

Opmerkingen

  • Het heeft een manpage, maar het ‘ is niet erg nuttig: ” Synopsis: Daemon biedt ondersteuning voor het Rapport-connectiviteitsraamwerk. ”
  • 1. Hints van elders suggereren dat het gaat om lokale Apple-apparaten die verbinding maken (en de Mac uit de slaapstand halen). 2. Er is ook een RapportUIAgent in System / Library / CoreServices. 3. Er zijn 2 lanceeragenten. 4. rapportd bestaat in 10.13.0 maar is niet actief. 5. Er is /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Tekst in rapportd.sb en in rapportd executable omvat airplay, wifi, bluetooth, pairing en homekit.
  • I denk dat het je andere Apple-apparaat was dat probeerde verbinding te maken met je mbp.
  • Don ‘ weet niet veel over dit soort dingen, maar heb gemerkt dat de inkomende poging om verbinding te maken komt van mijn iPhone (‘ is het IP-adres waarmee mijn iPhone is verbonden).
  • Ik kwam hier vanwege het bonjour-servicerapport dat adverteert. De uitvoer van ” dns-sd -B _services._dns-sd._udp ” is ” _tcp.local. _companion-link ” die verkeerd is gespeld als ” Compagnion-link ” Servicetype in iNet-netwerk Scanner. Spelfouten in onbekende Bonjour-services activeren mijn malwaredetector. Zelfs als Handoff is uitgeschakeld, blijft deze service actief. Ik denk dat Apple in staat moet zijn om telefoons / tablets / laptops koste wat het kost verbonden te houden. Na controle met codesign denk ik dat rapportd de eerste partij is. Waarom zo duister.

Antwoord

De man-pagina zegt:

Daemon providing support for the Rapport connectivity framework.

Het controleren van de codehandtekening met codesign -dv --verbose=4 /usr/libexec/rapportd laat zien dat deze is ondertekend door Apple en, aangezien het is gekoppeld aan een PrivateFramework (wat Apple niet toestaat voor anderen) en op een SIP-beveiligde locatie (tenzij je SIP hebt uitgeschakeld), lijkt dit legitieme Apple-software te zijn. De man-pagina impliceert dat het gerelateerd is aan communicatie, hoewel ik er nog geen echte documentatie over heb gevonden.

(Met dank aan John Keates voor de tip voor het ondertekenen van de code.)

Continuïteitscamera op uw Mac vergemakkelijkt ook rapportd:

  • In uw macOS first party apps zoals Notes.app of Pages.app kun je het commando “Foto nemen” geven, waarmee de camera-app op je iPhone of iPad wordt geopend.
  • Dit activeert ook een inkomende verbinding met rapportd (ongeveer 1,2 megabyte voor elke foto afkomstig van een iPhone 6S, waargenomen met LittleSnitch )

Reacties

  • Alleen omdat Apple het heeft geautoriseerd, maakt ‘ het niet ” legitiem “. Apple verzamelt en deelt sinds oktober 2012 informatie over zijn gebruikers met staatsveiligheidsorganen . Ik ‘ heb geen iPhone en ‘ wil geen beveiligingslek om te delen met andere Apple-apparaten.
  • ” het ‘ is gekoppeld aan een PrivateFramework (wat Apple niet ‘ toestaat voor anderen) “: Apple geeft hier niets om ‘, tenzij je ‘ van plan om te verspreiden via de App Store. Een van de apps waaraan ik werk, koppelt zelfs aan een privéraamwerk en Apple liet ons het prima ondertekenen.

Antwoord

Naast wat er al gepost is, is / usr / libexec / rapportd code ondertekend door Apple en gekoppeld aan een PrivateFramework (dat Apple niet toestaat voor anderen en daarom niet tekent voor anderen), en op een SIP-beveiligde locatie. Tenzij u SIP uitschakelt, is dit gewoon een onderdeel van het besturingssysteem, dat daar door Apple is geplaatst.

U kunt dit controleren op de opdrachtregel: 

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Dit zou zoiets moeten rapporteren als: 

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied

Om te laten zien waaraan bibliotheken zijn gekoppeld: 

otool -L /usr/libexec/rapportd

Wat iets zal laten zien als: 

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

Reacties

  • ” die Apple niet ‘ toestaat voor anderen en daarom niet ‘ tekent voor anderen “: probeer het zelf; je ‘ zal zien dat het prima werkt: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, en gecodeerd door Apple, niet door Frameworks en lokaal gecodeerd door uzelf.
  • Sorry, ik bedoelde echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Een nogal ongelukkige typefout gezien wat we ‘ bespreken. Ik heb dit ook ondertekend met mijn Mac-ontwikkelaarscertificaat, niet een ad-hoccertificaat.

Answer

I denk dat het wordt gebruikt voor iTunes Home Sharing en de Remote-app om iTunes te besturen.

Ik kwam hier achter omdat Little Snitch het blokkeerde en ik kon niet achterhalen waarom het iTunes-externe spul niet werkte, omdat Ik heb per ongeluk het dialoogvenster gesloten 🙂

Zodra ik het toestond, kon mijn telefoon iTunes op mijn laptop zien en iTunes Home Sharing ontdekken.

Opmerkingen

  • Ik ‘ heb nog nooit een iOS-apparaat gesynchroniseerd op deze machine, maar ik gebruik iTunes Home Sharing, en heb rapportd draaiend met TCP *: 65530 (LISTEN) open op zowel ipv4 als ipv6, ik dacht dat poort 65530 een behoorlijk brutaal hoog poortnummer was, slechts zes onder het hoogst mogelijke, maar gelukkig klinkt het hopelijk als legitieme software

Antwoord

Typ man rapportd in Terminal. Dit is de output: 

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd

Antwoord

Van mijn eigen pijn ^ W ervaring kan ik zeggen dat deze service tenminste nodig is om het doorsturen van sms-berichten (relaying) te laten werken.

Blokkeren met Firewall, bijvoorbeeld. g., plaatst een grote, vetgedrukte ban op het item “Doorsturen van tekstberichten” in de instellingen van de iPhone. In feite wordt het daar zelfs helemaal niet weergegeven

voer de beschrijving van de afbeelding hier in

Reacties

  • Interessant. Ik heb de rapportage op mijn computer geblokkeerd, maar zowel iMessages als het doorsturen van sms-berichten werken nog steeds prima voor mij. Is het mogelijk dat u ook een andere geblokkeerde service heeft?
  • Hoe heeft u deze geblokkeerd? Heb je geprobeerd opnieuw op te starten nadat je dat deed?
  • Door “weigeren” te kiezen toen het werd gevraagd, zoals vermeld in mijn oorspronkelijke vraag (en het wordt nog steeds vermeld als geblokkeerd in de firewall-instellingen). En ja, ik ben sindsdien vele malen opnieuw opgestart.
  • Je kunt het zeker controleren met traffic sniffer en / of netstat / lsof

Antwoord

Reacties

  • Wilt u hier uitleggen wat een achterdeur voor u betekent?
  • 501 is de UID, niet de PID! U moet lsof -p 306 voor dit proces
  • sorry voor de UID / PID-verwarring – ik ‘ heb het nu gecorrigeerd .

Answer

Heeft u onlangs ingestemd met het installeren van software om de communicatie met uw bank te beschermen? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Reacties

  • Die software doet me ineenkrimpen. Het lijkt superzwaar en heeft tonnen kwetsbaarheden en maakt de veiligheid van mensen zelfs veel erger. Ik denk echter dat dit Apple-software is en niet de link die je noemde – alleen dat de namen hetzelfde zijn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *