Ich habe gerade auf das neueste MacOS 10.13.2 aktualisiert. Nach dem Neustart hat mich mein Computer gebeten, eingehende Netzwerkverbindungen für „rapportd“ zuzulassen.
Nachdem ich es blockiert und die Firewall-Konfiguration überprüft habe, kann ich sehen, dass dies eine ausführbare Datei in /usr/libexec/rapportd ist, die am 1. Dezember auf meinem Computer erstellt wurde.
An diesem Tag nach der Installation des Sicherheitsupdates 2017-001 (zum zweiten Mal; Autoupdate schien nicht zu bemerken, dass ich es manuell aktualisiert hatte), und ich habe kein anderes installiert oder aktualisiert Software vor kurzem / zu dieser Zeit. Google Chrome wird aktualisiert, wann immer es Ihnen gefällt. Dies könnte also mit einem Chrome-Update zusammenhängen (keine Ahnung, wann es zuletzt aktualisiert wurde).
Das Internet schlägt vor, dass dies mit einigen Bankgeschäften zusammenhängt Schutzprogramm, aber das scheint hier nicht zu passen, und anhand einer vagen Textbearbeitungsprüfung der Binärdatei kann ich sehen, dass es auf /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport verweist (ein Framework, das auf meinem Computer wieder erstellt wurde) Juli und aktualisiert im Oktober), was mich glauben lässt, dass dies wahrscheinlich ein neuer Betriebssystem-Daemon eines Erstanbieters ist.
Was macht rapportd?
Kommentare
- Es hat eine Manpage, aber ‚ ist nicht sehr hilfreich: “ Synopsis: Daemon bietet Unterstützung für das Rapport-Konnektivitätsframework. “
- 1. Hinweise von anderen empfehlen, lokale Apple-Geräte anzuschließen (und den Mac aus dem Ruhezustand zu wecken). 2. Es gibt auch einen RapportUIAgent in System / Library / CoreServices. 3. Es gibt 2 Startagenten. 4. rapportd existiert in 10.13.0, ist aber nicht aktiv. 5. Es gibt /System/Library/Sandbox/profiles/com.apple.rapportd.sb. 6. Der Text in rapportd.sb und in der ausführbaren Datei rapportd enthält Airplay, WLAN, Bluetooth, Pairing und Homekit.
- I. Ich glaube, es war Ihr anderes Apple-Gerät, das versucht hat, eine Verbindung zu Ihrem MBP herzustellen.
- Sie ‚ wissen nicht viel über diese Art von Dingen, haben aber bemerkt, dass der eingehende Versuch Die Verbindung wird von meinem iPhone hergestellt (‚ ist die IP-Adresse, mit der mein iPhone verbunden ist).
- Ich bin wegen des Bonjour-Dienstes hierher gekommen, für den rapportd wirbt. Die Ausgabe von “ dns-sd-B _services._dns-sd._udp “ ist “ _tcp.local. _companion-link „, der falsch geschrieben ist als “ Compagnion link “ Diensttyp im iNet-Netzwerk Scanner. Rechtschreibfehler in unbekannten Bonjour-Diensten lösen meinen Malware-Detektor aus. Auch bei ausgeschalteter Übergabe bleibt dieser Dienst aktiv. Ich denke, Apple muss in der Lage sein, Telefone / Tablets / Laptops um jeden Preis in Verbindung zu halten. Nach der Überprüfung mit Codesign denke ich, dass Rapportd die erste Partei ist. Warum aber so dunkel?
Antwort
Auf der Manpage heißt es:
Daemon providing support for the Rapport connectivity framework.
Wenn Sie die Codesignatur mit codesign -dv --verbose=4 /usr/libexec/rapportd überprüfen, wird angezeigt, dass sie von Apple signiert ist und mit einem PrivateFramework verknüpft ist (was Apple anderen nicht erlaubt) und an einem SIP-geschützten Ort (es sei denn, Sie haben SIP deaktiviert) scheint dies eine legitime Apple-Software zu sein. Die Manpage impliziert, dass es sich um Kommunikation handelt, obwohl ich noch keine wirkliche Dokumentation dazu gefunden habe.
(Vielen Dank an John Keates für den Code-Signatur-Tipp.)
Durchgangskamera auf Ihrem Mac erleichtert auch rapportd:
- in Ihrem MacOS Erstanbieter-Apps wie Notes.app oder Pages.app können den Befehl „Foto aufnehmen“ eingeben, mit dem die Kamera-App auf Ihrem iPhone oder iPad geöffnet wird.
- Dadurch wird auch eine eingehende Verbindung zu
rapportd(ungefähr 1,2 Megabyte für jedes Foto, das von einem iPhone 6S stammt, beobachtet mit LittleSnitch )
Kommentare
- Nur weil Apple es autorisiert hat, ‚ macht es nicht “ legitim „. Apple sammelt und teilt seit Oktober 2012 Informationen über seine Benutzer mit staatlichen Sicherheitsorganen . Ich ‚ habe kein iPhone und ‚ möchte nicht, dass eine Sicherheitslücke geöffnet wird, um sie mit anderen Apple-Geräten zu teilen.
- “ ‚ ist mit einem PrivateFramework verknüpft (was Apple ‚ nicht zulässt für andere) „: Apple ‚ kümmert sich nicht darum, es sei denn, Sie ‚ re planen, über den App Store zu verteilen. In der Tat, eine der Apps, an denen ich arbeite, verlinkt auf ein privates Framework und Apple lässt uns es ganz gut signieren.
Antwort
Zusätzlich zu dem, was bereits veröffentlicht wurde, ist / usr / libexec / rapportd ein Code, der von signiert ist Apple und verknüpft mit einem PrivateFramework (das Apple für andere nicht zulässt und daher für andere nicht signiert) und an einem SIP-geschützten Ort. Sofern Sie SIP nicht deaktivieren, ist dies einfach Teil des von Apple bereitgestellten Betriebssystems.
Sie können dies in der Befehlszeile überprüfen:
codesign -vvvv -R="anchor apple" /usr/libexec/rapportd Dies sollte ungefähr Folgendes melden:
/usr/libexec/rapportd: valid on disk /usr/libexec/rapportd: satisfies its Designated Requirement /usr/libexec/rapportd: explicit requirement satisfied Um zu zeigen, mit welchen Bibliotheken verknüpft ist:
otool -L /usr/libexec/rapportd Was ungefähr Folgendes anzeigt:
/usr/libexec/rapportd: /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0) /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0) /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0) /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0) /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0) /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0) Kommentare
- „, das Apple ‚ nicht für andere zulässt und daher ‚ nicht für andere signiert „: Probieren Sie es selbst aus; Sie ‚ werden sehen, dass es einwandfrei funktioniert:
echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test - PrivateFrameworks und von Apple codiert, nicht Frameworks und Von Ihnen selbst lokal signiert.
- Entschuldigung, ich meinte
echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Ein ziemlich unglücklicher Tippfehler angesichts dessen, was wir ‚ diskutieren. Außerdem habe ich dies mit meinem Mac Developer-Zertifikat signiert, nicht mit einem Ad-hoc-Zertifikat.
Antwort
I. Ich glaube, es wird für iTunes Home Sharing und die Remote-App verwendet, um iTunes zu steuern.
Ich habe dies herausgefunden, weil Little Snitch es blockiert hat und ich nicht herausfinden konnte, warum das iTunes-Remote-Material nicht funktioniert hat, weil Ich habe den Dialog versehentlich geschlossen 🙂
Sobald ich es zugelassen hatte, konnte mein Telefon iTunes auf meinem Laptop sehen und die iTunes-Heimfreigabe entdecken.
Kommentare
- Ich ‚ habe noch nie ein iOS-Gerät auf diesem Computer synchronisiert, aber ich verwende iTunes Home Sharing und habe
rapportdläuft mit TCP *: 65530 (LISTEN), das sowohl auf IPv4 als auch auf IPv6 geöffnet ist. Ich dachte, Port 65530 sei eine ziemlich freche hohe Portnummer, nur sechs unter der höchstmöglichen, aber zum Glück klingt es hoffentlich nach legitimer Software
Antwort
Geben Sie man rapportd ein Terminal. Dies ist die Ausgabe:
NAME rapportd -- Rapport Daemon. SYNOPSIS Daemon that enables Phone Call Handoff and other communication features between Apple devices. Use "/usr/libexec/rapportd -V" to get the version. LOCATION /usr/libexec/rapportd Antwort
Aus meinem eigenen Schmerz ^ W. Erfahrungsgemäß kann ich feststellen, dass dieser Dienst mindestens benötigt wird, damit die Weiterleitung (Weiterleitung) von Textnachrichten funktioniert.
Wenn er mit der Firewall blockiert wird, z. B. ein großes Verbot für das Weiterleiten von Textnachrichten in den iPhone-Einstellungen. Tatsächlich wird es dort überhaupt nicht angezeigt.
Kommentare
- Interessant. Ich habe den Rapport auf meinem Computer blockiert, aber sowohl iMessages als auch die Weiterleitung von Textnachrichten funktionieren für mich immer noch einwandfrei. Ist es möglich, dass Sie auch einen anderen blockierten Dienst haben?
- Wie haben Sie blockiert? Haben Sie danach einen Neustart versucht?
- Wählen Sie „Verweigern“, wenn Sie gefragt werden, wie in meiner ursprünglichen Frage angegeben (und es wird in den Firewall-Einstellungen immer noch als blockiert aufgeführt). Und ja, ich habe seitdem viele Male neu gestartet.
- Sie können dies mit Traffic Sniffer und / oder
netstat/lsof
Antwort
Kommentare
- Bitte erläutern Sie hier, was eine Hintertür für Sie bedeutet.
- 501 ist die UID, nicht die PID! Sie müssen
lsof -p 306für diesen Vorgang - für die UID / PID-Verwirrung entschuldigen – ich ‚ habe ihn jetzt korrigiert
Antwort
Haben Sie kürzlich zugestimmt, Software zum Schutz der Kommunikation mit Ihrer Bank zu installieren? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport
Kommentare
- Diese Software lässt mich zusammenzucken. Es scheint super schwer zu sein und hat Unmengen von Schwachstellen und macht die Sicherheit der Menschen weitaus schlimmer. Ich denke, dies ist jedoch Apple-Software und nicht der von Ihnen erwähnte Link – nur, dass die Namen gleich sind.
