ianuarie 29, 2021
Articles
Niciun comentariu

Ce este raportd și de ce vrea conexiuni de rețea primite?

Tocmai am actualizat la cel mai recent MacOS 10.13.2 și, după repornire, mașina mea mi-a cerut să permit conexiunile de rețea primite pentru „rapportd”.

După ce l-am blocat și am verificat configurarea firewall-ului, pot vedea că acesta este un executabil în /usr/libexec/rapportd care a fost creat pe computerul meu la 1 decembrie.

Asta este „o zi după ce am instalat actualizarea de securitate 2017-001 (pentru a doua oară; actualizarea automată nu pare să fi observat că l-am actualizat manual) și nu am instalat sau actualizat niciun alt software recent / în acea perioadă. Google Chrome se actualizează ori de câte ori i se pare, deci acest lucru ar putea fi legat de o actualizare Chrome (nu știu când a fost actualizată ultima dată).

Internetul sugerează că acest lucru este legat de unele activități bancare program de protecție, dar asta nu pare să se potrivească aici și, dintr-o inspecție vagă de editare a textului binarului, pot vedea că face referire la /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (un cadru creat pe mașina mea în Iulie și actualizat în octombrie) ceea ce mă face să cred că este probabil un nou daemon OS de la prima parte.

Ce face raportd?

Comentarii

  • Are o pagină de manual, dar ‘ nu este foarte utilă: ” Sinopsis: Daemon oferă asistență pentru cadrul de conectivitate Rapport. ”
  • 1. Indiciile din alte părți sugerează să se conecteze la dispozitivele Apple locale (și să trezească Mac din repaus). 2. Există, de asemenea, un RapportUIAgent în System / Library / CoreServices. 3. Există 2 agenți de lansare. 4. raportd există în 10.13.0 dar nu este activ. 5. Există /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Textul în raportd.sb și în raportd executabil include airplay, wifi, bluetooth, pairing și homekit.
  • I cred că a fost celălalt dispozitiv Apple care a încercat să se conecteze la mbp-ul dvs.
  • Nu ‘ nu știți multe despre acest gen de lucruri, dar ați observat că încercarea de primire la conectare vine de pe iPhone-ul meu (este ‘ adresa IP pe care iPhone-ul meu este conectat).
  • Am venit aici din cauza serviciului Bonjour, raportul publicitar. Rezultatul ” dns-sd -B _services._dns-sd._udp ” este ” _tcp.local. _companion-link ” care este greșit scris ca ” Link de companie ” Tipul de serviciu în rețeaua iNet Scanner. Ortografiile greșite în serviciile Bonjour necunoscute îmi împiedică detectorul de malware. Chiar și cu Handoff dezactivat, acest serviciu rămâne în funcțiune. Cred că Apple trebuie să poată păstra telefoanele / tabletele / laptopurile conectate cu orice preț. După verificarea cu codul de cod, cred că raportd este prima parte. De ce este atât de obscur.

Răspuns

Pagina manuală precizează:

Daemon providing support for the Rapport connectivity framework.

Verificarea semnăturii codului cu codesign -dv --verbose=4 /usr/libexec/rapportd arată că este semnată de Apple și, întrucât este legată de un PrivateFramework (ceea ce Apple nu permite pentru alții) și într-o locație protejată SIP (cu excepția cazului în care ați dezactivat SIP), acesta pare a fi un software legitim Apple. Pagina manuală implică că este legată de comunicare, deși încă nu am găsit nicio documentație reală pe ea.

(Mulțumesc lui John Keates pentru sfatul cu semnătura de cod.)

Camera de continuitate pe Mac facilitează, de asemenea, rapportd:

  • În MacOS aplicații de primă parte, cum ar fi Notes.app sau Pages.app, puteți emite comanda „Faceți fotografie”, care deschide aplicația camerei de pe iPhone sau iPad.
  • Aceasta declanșează, de asemenea, o conexiune de intrare la rapportd (aproximativ 1,2 Megabytes pentru fiecare fotografie provenită de pe un iPhone 6S, observată cu LittleSnitch )

Comentarii

  • Doar pentru că Apple l-a autorizat, nu ‘ nu îl face ” legitim „. Apple colectează și împărtășește informații despre utilizatorii săi cu organele de securitate a statului din octombrie 2012 . Nu ‘ nu am un iPhone și nu ‘ nu vreau o gaură de securitate deschisă pentru a fi partajată cu alte dispozitive Apple.
  • ” este ‘ legat de un PrivateFramework (pe care Apple nu îl permite ‘ pentru alții) „: Apple nu ‘ nu are grijă de acest lucru, cu excepția cazului în care ‘ re intenționând să distribuiți prin App Store. De fapt, una dintre aplicațiile la care lucrez se conectează la un cadru privat și Apple ne-a permis să o semnăm foarte bine.

Răspuns

Pe lângă ceea ce a fost deja postat, / usr / libexec / rapportd este cod semnat de Apple și conectat la un PrivateFramework (pe care Apple nu îl permite pentru alții și, prin urmare, nu îl semnează pentru alții) și într-o locație protejată SIP. Cu excepția cazului în care dezactivați SIP, aceasta este pur și simplu o parte a sistemului de operare, pus acolo de Apple.

Puteți verifica acest lucru pe linia de comandă: 

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Acest lucru ar trebui să raporteze ceva de genul: 

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied

Pentru a arăta la ce biblioteci sunt legate: 

otool -L /usr/libexec/rapportd

Care va afișa ceva de genul: 

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

Comentarii

  • ” pe care Apple nu ‘ nu le permite altora și, prin urmare, nu ‘ nu semnează pentru alte persoane „4c2c471268”>

: Încercați singur; ‘ veți vedea că funcționează foarte bine:echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test

  • PrivateFrameworks și codat de Apple, nu Frameworks și codat local de dvs. în sine.
  • Ne pare rău, am vrut să spun echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Un tipar destul de nefericit dat fiind ceea ce ‘ discutăm. De asemenea, am semnat acest lucru cu certificatul meu de dezvoltator Mac, nu unul ad-hoc.

    • Răspuns

    I cred că este folosit pentru iTunes Home Sharing și aplicația Remote pentru a controla iTunes.

    Am aflat acest lucru pentru că Little Snitch îl bloca și nu am putut afla de ce lucrurile de la distanță iTunes nu funcționau deoarece Am închis din greșeală caseta de dialog 🙂

    Odată ce mi-am permis telefonul meu ar putea să vadă iTunes pe laptopul meu și să descopere iTunes Home Sharing.

    Comentarii

    • Eu ‘ nu am sincronizat niciodată un dispozitiv iOS pe această mașină, dar folosesc partajarea iTunes la domiciliu și am rapportd rulează cu TCP *: 65530 (LISTEN) deschis atât pe ipv4, cât și pe ipv6, am crezut că portul 65530 este un număr destul de obraznic de port, cu doar șase sub cel mai mare posibil, dar din fericire sună ca un software legitim, sperăm că ul>

    Răspuns

    Tastați man rapportd Terminal. Acesta este rezultatul: 

    NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd

    Răspuns

    Din propria mea durere ^ W experiență Pot să spun că acest serviciu este necesar cel puțin pentru ca redirecționarea mesajelor text (retransmiterea) să funcționeze.

    Blocarea acestuia cu Firewall, pentru e. g., pune o mare interdicție îndrăzneață asupra elementului „Redirecționare mesaje text” în setările iPhone. De fapt, nu va fi afișat deloc acolo

    introduceți descrierea imaginii aici

    Comentarii

    • Interesant. Am blocat raportarea pe computerul meu, însă atât iMessages, cât și redirecționarea mesajelor text funcționează în continuare bine pentru mine. Este posibil să aveți și un alt serviciu blocat?
    • Cum ați blocat? Ați încercat să reporniți după ce ați făcut acest lucru?
    • Alegând „refuza” când a fost întrebat, așa cum am menționat în întrebarea mea inițială (și este încă listat ca blocat în setările firewall-ului). Și da, am repornit de multe ori de atunci.
    • Puteți verifica sigur cu snifferul de trafic și / sau netstat / lsof

    Răspuns

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *