Qu'est-ce qui est en rapport et pourquoi veut-il des connexions réseau entrantes?

44

Je viens de mettre à jour la dernière version de MacOS 10.13.2 et après le redémarrage, mon ordinateur m'a demandé d'autoriser les connexions réseau entrantes pour "rapportd".

Après l'avoir bloqué et vérifié dans la configuration du pare-feu, je constate qu'il s'agit d'un exécutable dans /usr/libexec/rapportdlequel le fichier a été créé le 1er décembre sur ma machine.

C'est un jour après l'installation de la mise à jour de sécurité 2017-001 (pour la deuxième fois; la mise à jour automatique n'a pas semblé remarquer que je l'avais mise à jour manuellement), et je n'ai installé ou mis à jour aucun autre logiciel récemment / à cette époque. . Google Chrome se met à jour à tout moment, ce qui pourrait être lié à une mise à jour de Chrome (aucune idée de la date de sa dernière mise à jour).

Internet suggère que cela est lié à un programme de protection bancaire, mais que cela ne semble pas aller ici. D'après une vague inspection du fichier binaire par l'édition de texte, je peux voir qu'il fait référence /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport(un framework créé sur ma machine en juillet et mis à jour). en octobre), ce qui me laisse penser que ce sera probablement un nouveau démon de système d’exploitation 1ère partie.

Que fait le rapport?

macos daemons Dave
la source
1
Il a une page de manuel, mais ce n’est pas très utile: "Synopsis: Démon prenant en charge le cadre de connectivité Rapport."
Sengi
1
1. Des astuces venues d’ailleurs suggèrent de faire avec les appareils Apple locaux qui se connectent (et sortent Mac du sommeil) 2. Il existe également un rapportUIAgent dans System / Library / CoreServices. 3. Il y a 2 agents de lancement. 4. Le rapport existe dans 10.13.0 mais n'est pas actif. 5. Il existe /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Le texte dans rapportd.sb et dans l'exécutable de rapportd inclut airplay, wifi, bluetooth, couplage et kit de développement.
Gilby
Je pense que c’est votre autre appareil Apple qui a essayé de se connecter à votre Mbp.
Vision Chang
Je ne sais pas grand chose de ce genre de choses, mais j'ai remarqué que la tentative de connexion entrante venait de mon iPhone (c'est l'adresse IP à laquelle mon iPhone est connecté).
jeudi

Réponses:

20

EDIT: Il semble que la page de manuel ait été mise à jour et se lit maintenant comme suit:

Daemon that enables Phone Call Handoff and other communication features between Apple devices.

Je viens d'avoir la même expérience. La page de manuel indique qu'il s'agit d'un:

Daemon providing support for the Rapport connectivity framework.

Vérifier la signature de code avec codesign -dv --verbose=4 /usr/libexec/rapportdmontre qu'il est signé par Apple et, puisqu'il est lié à un PrivateFramework (que Apple n'autorise pas pour les autres) et dans un emplacement protégé par SIP (à moins que vous n'ayez désactivé SIP), cela semble être légitime Apple Logiciel. La page de manuel sous-entend que cela concerne la communication, bien que je n’aie pas encore trouvé de documentation à ce sujet.

(Merci à John Keates pour le conseil sur la signature de code.)

seren
la source
Ce n’est pas parce que Apple l’a autorisé que cela soit "légitime". Apple recueille et partage des informations sur ses utilisateurs avec les organes de sécurité de l'État depuis octobre 2012 . Je n'ai pas d'iPhone et je ne veux pas d'une faille de sécurité ouverte à partager avec d'autres appareils Apple.
Foliovision le
2
"c'est lié à un cadre privé (ce que Apple n'autorise pas pour les autres)": Apple s'en fiche, à moins que vous ne prévoyiez le distribuer via l'App Store. En fait, l’une des applications sur lesquelles je travaille est liée à un cadre privé et Apple nous a permis de le signer parfaitement.
saagarjha
15

En plus de ce qui a déjà été posté, / usr / libexec / rapportd est un code signé par Apple et lié à un PrivateFramework (que Apple ne permet pas pour les autres et ne signe donc pas pour les autres), et dans un environnement protégé par SIP emplacement. Sauf si vous désactivez SIP, cela fait simplement partie du système d'exploitation, mis en place par Apple.

Vous pouvez le vérifier sur la ligne de commande:

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Cela devrait signaler quelque chose comme:

/usr/libexec/rapportd: valid on disk
/usr/libexec/rapportd: satisfies its Designated Requirement
/usr/libexec/rapportd: explicit requirement satisfied

Pour montrer à quelles bibliothèques sont liées:

otool -L /usr/libexec/rapportd

Ce qui montrera quelque chose comme:

/usr/libexec/rapportd:
    /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0)
    /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0)
    /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0)
    /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0)
    /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
John Keates
la source
1
"ce que Apple ne permet pas aux autres et ne signe donc pas pour les autres": essayez-le vous-même; vous verrez que cela fonctionne très bien:echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
saagarjha
PrivateFrameworks, et codesignés par Apple, pas Frameworks et codesignés localement par vous-même.
John Keates
4
Désolé, je voulais dire echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Une faute de frappe plutôt malheureuse étant donné ce dont nous discutons. De plus, je l'ai signé avec mon certificat de développeur Mac, pas avec un certificat ad hoc.
saagarjha
12

Je crois qu'il est utilisé par iTunes Home Sharing et par l'application Remote pour contrôler iTunes.

J'ai découvert ceci parce que Little Snitch le bloquait et je ne pouvais pas comprendre pourquoi la télécommande iTunes ne fonctionnait pas parce que j'avais accidentellement fermé la boîte de dialogue :)

Une fois autorisé, mon téléphone pouvait alors voir iTunes sur mon ordinateur portable et découvrir le partage à domicile iTunes.

Darius
la source
Je n'ai jamais synchronisé d'appareil iOS sur cette machine, mais j'utilise le partage à domicile iTunes et rapportdfonctionne sous TCP *: 65530 (LISTEN) ouvert à la fois sur ipv4 et ipv6. en dessous du maximum possible mais heureusement, cela ressemble à un logiciel légitime, espérons-le
Tomachi
6

De ma propre expérience, je peux dire que ce service est nécessaire au moins pour que le transfert de messages texte (relais) fonctionne.

Le fait de le bloquer avec le pare-feu, par exemple, crée une interdiction audacieuse de l’élément «Transfert de message texte» dans les paramètres de l’iPhone. En fait, il ne sera même pas montré du tout là-bas

entrez la description de l'image ici

poige
la source
Intéressant. J'ai bloqué les rapports sur ma machine, mais iMessages et le transfert de messages texte fonctionnent toujours bien pour moi. Est-il possible que vous ayez également un autre service bloqué?
Dave
Comment avez-vous bloqué? Avez-vous essayé de redémarrer après avoir fait cela?
Poige
En choisissant "refuser" quand il a demandé, comme indiqué dans ma question initiale (et il est toujours répertorié comme bloqué dans les paramètres de pare-feu). Et oui, j'ai redémarré plusieurs fois depuis lors.
Dave
Vous pouvez vérifier pour sûr avec renifleur de la circulation et / ou netstat/lsof
poige
6

Tapez man rapportdTerminal. C'est la sortie:

NAME
     rapportd -- Rapport Daemon.

SYNOPSIS
     Daemon that enables Phone Call Handoff and other communication features between Apple devices.

     Use '/usr/libexec/rapportd -V' to get the version.

LOCATION
     /usr/libexec/rapportd
Viktor
la source
0

(edit: j'ai corrigé mon précédent mélange d'UID et de PID - excuses à tout le monde !!!)

J'ai vérifié quels fichiers ce processus a ouverts, et cela n'aide pas beaucoup non plus. Cependant, au moins, je sais maintenant sur quel port il essaie d'écouter (49161) et je peux rechercher, espérons-le, pourquoi ce port est "réservé" (c'est un port élevé, donc ce n'est pas vraiment réservé en tant que tel, ouais je sais).

[username]mbp:~ root# ps -ef |grep -i [r]apport
  501   306     1   0 10:52AM ??         0:00.11 /usr/libexec/rapportd
[username]mbp:~ root# lsof -p 306
COMMAND  PID  USER   FD   TYPE             DEVICE   SIZE/OFF       NODE NAME
rapportd 306 [username]  cwd    DIR                1,4        992          2 /
rapportd 306 [username]  txt    REG                1,4      44768 8591706461 /usr/libexec/rapportd
rapportd 306 [username]  txt    REG                1,4     837248 8591705719 /usr/lib/dyld
rapportd 306 [username]  txt    REG                1,4 1155805184 8591716537 /private/var/db/dyld/dyld_shared_cache_x86_64h
rapportd 306 [username]    0r   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    1u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    2u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    3u  IPv4 0x571b821607c38e93        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    4u  IPv6 0x571b82160763854b        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    5u  unix 0x571b821607941573        0t0            ->0x571b821607941c7b
rapportd 306 [username]    6u  unix 0x571b82160794069b        0t0            ->0x571b82160794050b
cepal67
la source
1
S'il vous plaît expliquer ce que signifie une porte dérobée ici?
bmike
501 est l'UID, pas le PID! Vous devez lsof -p 306pour ce processus
Dave
désolé pour la confusion UID / PID - je l'ai corrigé maintenant.
Cepal67
-3

Avez-vous récemment accepté d'installer un logiciel pour protéger les communications avec votre banque? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Bill Freese
la source
1
Ce logiciel me fait grincer des dents. Il semble être extrêmement lourd et comporter des tonnes de vulnérabilités, ce qui aggrave encore la sécurité des personnes. Je pense cependant qu’il s’agit d’un logiciel Apple et non du lien que vous avez mentionné, mais que les noms sont identiques.
bmike