Vad är rapportd och varför vill det ha inkommande nätverksanslutningar?

Jag har just uppdaterat till senaste MacOS 10.13.2 och efter omstart bad min maskin mig att tillåta inkommande nätverksanslutningar för ”rapportd”.

Efter att ha blockerat den och kontrollerat brandväggskonfigurationen kan jag se att detta är en körbar i /usr/libexec/rapportd som skapades på min maskin den 1 december.

Det ”en dag efter att jag installerade säkerhetsuppdateringen 2017-001 (för andra gången; autoupdate tycktes inte märka att jag uppdaterade den manuellt) och jag har inte installerat eller uppdaterat någon annan programvara nyligen / runt den tiden. Google Chrome uppdateras när det känns som det, så detta kan relateras till en Chrome-uppdatering (ingen aning när den senast uppdaterades).

Internet antyder att detta är relaterat till vissa banker skyddsprogram men det verkar inte passa här, och från en vag textredigeringsinspektion av binären kan jag se att den refererar till /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (ett ramverk skapat på min maskin tillbaka i Juli och uppdaterades i oktober) vilket får mig att tro att detta troligen kommer att vara en ny OS-demon från första parten.


Vad gör rapportd?

Kommentarer

  • Den har en manpage, men den ’ är inte särskilt hjälpsam: ” Synopsis: Daemon ger support för Rapport-anslutningsramen. ”
  • 1. Tips från någon annanstans föreslår att lokala Apple-enheter ansluter (och väcker Mac från viloläge). 2. Det finns också en RapportUIAgent i System / Library / CoreServices. 3. Det finns två lanseringsagenter. 4. rapportd finns i 10.13.0 men inte aktiv. 5. Det finns /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Text i rapportd.sb och i rapportd körbar inkluderar airplay, wifi, bluetooth, parning och homekit.
  • I tror att det var din andra Apple-enhet som försökte ansluta till din mbp.
  • Don ’ vet inte mycket om den här typen av saker, men har märkt att det inkommande försöket att conect kommer från min iPhone (det ’ är IP-adressen som min iPhone är ansluten).
  • Jag kom hit på grund av tjänsten rapport från bonjour annonserar. Utdata från ” dns-sd -B _services._dns-sd._udp ” är ” _tcp.local. _companion-link ” som är felstavad som ” Compagnion-länk ” Tjänsttyp i iNet-nätverk Scanner. Felstavningar i okända Bonjour-tjänster utlöser min detektor för skadlig kod. Även om Handoff är avstängd fortsätter den här tjänsten. Jag antar att Apple måste kunna hålla telefoner / surfplattor / bärbara datorer anslutna till varje pris. Efter att ha kollat med kodesign antar jag att rapportd är första part. Men varför så obskyr.

Svar

Man-sidan säger:

Daemon providing support for the Rapport connectivity framework.

Kontrollera kodesignaturen med codesign -dv --verbose=4 /usr/libexec/rapportd visar att den är signerad av Apple och eftersom den är länkad mot ett PrivateFramework (som Apple inte tillåter för andra) och på en SIP-skyddad plats (om du inte stängde av SIP), verkar detta vara legitim Apple-programvara. Man-sidan antyder att den är relaterad till kommunikation, men jag har ännu inte hittat någon riktig dokumentation om den.

(Tack till John Keates för kodsignatur-tipset.)

Kontinuitetskamera på din Mac underlättar också rapportd:

  • I ditt macOS förstapartsappar som Notes.app eller Pages.app kan du utfärda kommandot ”Ta foto”, vilket öppnar kameraappen på din iPhone eller iPad.
  • Detta utlöser också en inkommande anslutning till rapportd (cirka 1,2 megabyte för varje foto som kommer från en iPhone 6S, observerad med LittleSnitch )

Kommentarer

  • Bara för att Apple godkände det, gör ’ det inte ” legitim ”. Apple har samlat in och delat information om sina användare med statliga säkerhetsorgan sedan oktober 2012 . Jag har ’ jag har inte en iPhone och inte ’ vill inte ha ett säkerhetshål öppet för att dela med andra Apple-enheter.
  • ” det ’ är länkat mot ett PrivateFramework (vilket Apple inte tillåter ’ t tillåter för andra) ”: Apple bryr sig inte om ’, såvida du inte ’ planerar att distribuera via App Store. Faktum är att en av de appar jag arbetar med länkar till ett privat ramverk och Apple låter oss underteckna det bara bra.

Svar

Förutom vad som redan har postats är / usr / libexec / rapportd kod signerad av Apple och länkat mot ett PrivateFramework (vilket Apple inte tillåter andra och därför inte signerar för andra) och på en SIP-skyddad plats. Såvida du inte stänger av SIP är detta helt enkelt en del av operativsystemet, placerat av Apple.

Du kan kontrollera detta på kommandoraden:

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd 

Detta bör rapportera ungefär som:

/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied 

För att visa vilka bibliotek som är länkade till:

otool -L /usr/libexec/rapportd 

Vilket kommer att visa ungefär:

/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0) 

Kommentarer

  • ” vilket Apple inte ’ t tillåter andra och därför ’ t tecken för andra ”: Prova själv; du ’ ser att det fungerar bra: echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
  • PrivateFrameworks, och kodsignat av Apple, inte Frameworks och kodsignerad lokalt själv.
  • Tyvärr menade jag echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Ett ganska olyckligt skrivfel med tanke på vad vi ’ diskuterar. Jag undertecknade detta med mitt Mac-utvecklarcertifikat, inte ett ad hoc-certifikat.

Svar

I tror att den används för iTunes Home Sharing och Remote-appen för att styra iTunes.

Jag fick reda på det eftersom Little Snitch blockerade det och jag kunde inte räkna ut varför iTunes-fjärr grejer inte fungerade för Jag stängde av misstag dialogrutan 🙂

När jag tillät det kunde min telefon sedan se iTunes på min bärbara dator och upptäcka iTunes Home Sharing.

Kommentarer

  • Jag ’ har aldrig synkroniserat en iOS-enhet på den här maskinen men jag använder iTunes hemdelning och har rapportd körs med TCP *: 65530 (LISTEN) öppen på både ipv4 och ipv6, jag tyckte att port 65530 var ett ganska fräckt högt portnummer bara sex under högsta möjliga men tack och lov låter det som legit programvara förhoppningsvis ul>

Svar

Skriv man rapportd i Terminal. Detta är utdata:

NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd 

Svar

Från min egen smärta ^ W erfarenhet Jag kan säga att den här tjänsten behövs åtminstone för att vidarebefordran av textmeddelanden (vidarebefordran) ska fungera.

Att ha den blockerad med Firewall, till exempel. g., sätter ett stort djärvt förbud mot ”SMS-vidarebefordran” -objekt i iPhone-inställningarna. Det kommer faktiskt inte alls att visas där

ange bildbeskrivning här

Kommentarer

  • Intressant. Jag har blockerat rapport på min maskin men både iMessages och vidarebefordran av sms fungerar fortfarande bra för mig. Är det möjligt att du också har en annan blockerad tjänst?
  • Hur blockerade du? Försökte du starta om efter att du gjorde det?
  • Genom att välja ”neka” när den frågade, som nämnts i min ursprungliga fråga (och den är fortfarande listad som blockerad i brandväggsinställningarna). Och ja, jag har startat om många gånger sedan dess.
  • Du kan kontrollera med trafiksniffer och / eller netstat / lsof

Svar

Kommentarer

  • Förklar vad en bakdörr betyder för dig här?
  • 501 är UID, inte PID! Du måste lsof -p 306 för den här processen
  • ledsen för UID / PID-förvirring – Jag ’ har korrigerat det nu .

Svar

Har du nyligen gått med på att installera programvara för att skydda kommunikationen med din bank? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Kommentarer

  • Den programvaran får mig att krypa. Det verkar vara supertungt och har massor av sårbarheter och gör faktiskt människors säkerhet mycket sämre. Jag tror dock att detta är Apple-programvara och inte länken du nämnde – bara att namnen är desamma.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *