Apa itu hubungan dan mengapa ia menginginkan koneksi jaringan yang masuk?

43

Saya baru saja memperbarui ke MacOS 10.13.2 terbaru dan setelah memulai ulang, mesin saya meminta saya untuk mengizinkan koneksi jaringan masuk untuk "hubungan".

Setelah memblokirnya dan memeriksa konfigurasi firewall, saya dapat melihat bahwa ini adalah executable /usr/libexec/rapportdyang dibuat di komputer saya pada tanggal 1 Desember.

Itu sehari setelah saya menginstal pembaruan keamanan 2017-001 (untuk kedua kalinya; pembaruan otomatis tampaknya tidak memperhatikan bahwa saya telah memperbaruinya secara manual), dan saya belum menginstal atau memperbarui perangkat lunak lain apa pun baru-baru ini / sekitar waktu itu . Google Chrome memperbarui kapan pun ia mau, jadi ini mungkin terkait dengan pembaruan Chrome (tidak tahu kapan terakhir diperbarui).

Internet menyarankan ini terkait dengan beberapa program perlindungan perbankan tetapi itu tampaknya tidak cocok di sini, dan dari inspeksi teks-edit biner yang samar-samar saya dapat melihat bahwa itu merujuk /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport(kerangka kerja yang dibuat pada mesin saya pada bulan Juli dan diperbarui) di bulan Oktober) yang membuat saya berpikir ini kemungkinan akan menjadi daemon OS pihak pertama yang baru.

Apa yang dilakukan hubungan?

macos daemons Dave
sumber
1
Ini memiliki manual, tetapi tidak terlalu membantu: "Sinopsis: Daemon menyediakan dukungan untuk kerangka kerja konektivitas konektivitas."
sengi
1
1. Petunjuk dari tempat lain menyarankan untuk dilakukan dengan menghubungkan perangkat Apple lokal (dan membangunkan Mac dari tidur). 2. Ada juga Kelengkapan dalam Sistem / Perpustakaan / CoreServices. 3. Ada 2 agen peluncuran. 4. hubungan ada di 10.13.0 tetapi tidak aktif. 5. Ada /System/Library/Sandbox/profiles/com.apple.rapportd.sb 6. Teks dalam rapportd.sb dan dalam rapportd yang dapat dieksekusi termasuk airplay, wifi, bluetooth, pairing, dan homekit.
Gilby
Saya pikir itu adalah perangkat apel Anda yang mencoba terhubung ke mbp Anda.
Visi Chang
Tidak tahu banyak tentang hal-hal semacam ini, tetapi perhatikan bahwa upaya masuk untuk menghubungkan berasal dari iPhone saya (ini adalah alamat IP yang terhubung dengan iPhone saya).
Gui

Jawaban:

18

EDIT: Sepertinya halaman manual telah diperbarui dan sekarang berbunyi:

Daemon that enables Phone Call Handoff and other communication features between Apple devices.

Saya hanya memiliki pengalaman yang sama. Halaman manual menyatakan bahwa itu adalah:

Daemon providing support for the Rapport connectivity framework.

Memeriksa tanda tangan kode dengan tanda-tanda codesign -dv --verbose=4 /usr/libexec/rapportditu ditandatangani oleh Apple dan, karena terkait dengan PrivateFramework (yang tidak diizinkan oleh Apple untuk orang lain) dan di lokasi yang dilindungi SIP (kecuali jika Anda mematikan SIP), ini tampaknya sah Apple perangkat lunak. Halaman manual menyiratkan itu terkait dengan komunikasi, meskipun saya belum menemukan dokumentasi nyata di dalamnya.

(Terima kasih kepada John Keates untuk tip kode-tanda tangan.)

seren
sumber
Hanya karena Apple mengizinkannya, tidak membuatnya "sah". Apple telah mengumpulkan dan berbagi informasi tentang penggunanya dengan organ keamanan negara sejak Oktober 2012 . Saya tidak memiliki iPhone dan tidak ingin celah keamanan terbuka untuk dibagikan dengan perangkat Apple lainnya.
Foliovision
2
"ini tertaut dengan PrivateFramework (yang Apple tidak izinkan untuk orang lain)": Apple tidak peduli tentang hal ini, kecuali jika Anda berencana untuk mendistribusikan melalui App Store. Bahkan, salah satu aplikasi yang saya kerjakan pada tautan ke kerangka kerja pribadi dan Apple membiarkan kami menandatanganinya dengan baik.
saagarjha
15

Selain apa yang sudah diposting, / usr / libexec / rapportd adalah kode yang ditandatangani oleh Apple dan ditautkan dengan PrivateFramework (yang tidak diizinkan oleh Apple untuk orang lain dan oleh karena itu tidak ditandatangani untuk orang lain), dan dilindungi SIP. lokasi. Kecuali Anda mematikan SIP, ini hanyalah bagian dari OS, diletakkan di sana oleh Apple.

Anda dapat memeriksa ini di commandline:

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

Ini harus melaporkan sesuatu seperti:

/usr/libexec/rapportd: valid on disk
/usr/libexec/rapportd: satisfies its Designated Requirement
/usr/libexec/rapportd: explicit requirement satisfied

Untuk menampilkan perpustakaan apa yang ditautkan:

otool -L /usr/libexec/rapportd

Yang akan menunjukkan sesuatu seperti:

/usr/libexec/rapportd:
    /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0)
    /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0)
    /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0)
    /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0)
    /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
John Keates
sumber
1
"yang Apple tidak izinkan untuk orang lain dan karena itu tidak masuk untuk orang lain": Cobalah sendiri; Anda akan melihat bahwa itu berfungsi dengan baik:echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
saagarjha
PrivateFrameworks, dan codesigned oleh Apple, bukan Frameworks dan codesigned secara lokal sendiri.
John Keates
4
Maaf, maksud saya echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test. Kesalahan ketik yang agak disayangkan mengingat apa yang kita diskusikan. Juga, saya menandatangani ini dengan sertifikat Pengembang Mac saya, bukan yang ad-hoc.
saagarjha
11

Saya percaya ini digunakan untuk iTunes Home Sharing dan aplikasi Remote untuk mengontrol iTunes.

Saya menemukan ini karena Little Snitch memblokirnya dan saya tidak dapat menemukan mengapa hal-hal iTunes tidak berfungsi karena saya tidak sengaja menutup dialog :)

Setelah saya mengizinkannya, ponsel saya kemudian dapat melihat iTunes di laptop saya serta menemukan iTunes Home Sharing.

Darius
sumber
6

Ketikkan man rapportdTerminal. Ini adalah output:

NAME
     rapportd -- Rapport Daemon.

SYNOPSIS
     Daemon that enables Phone Call Handoff and other communication features between Apple devices.

     Use '/usr/libexec/rapportd -V' to get the version.

LOCATION
     /usr/libexec/rapportd
Viktor
sumber
5

Dari pengalaman saya sendiri ^ W pengalaman saya dapat mengatakan bahwa layanan ini diperlukan setidaknya untuk meneruskan pesan teks (menyampaikan)

Setelah diblokir dengan Firewall, misalnya, memberi larangan besar pada item "Penerusan Pesan Teks" di pengaturan iPhone. Bahkan itu tidak akan ditampilkan sama sekali di sana

masukkan deskripsi gambar di sini

poige
sumber
Menarik. Saya telah memblokir hubungan pada mesin saya, tetapi penerusan iMessages dan pesan teks masih berfungsi dengan baik untuk saya. Apakah mungkin Anda juga memiliki layanan lain yang diblokir?
Dave
Bagaimana Anda memblokir? Apakah Anda mencoba me-reboot setelah Anda melakukannya?
poige
Dengan memilih "deny" ketika ditanya, seperti yang tercantum dalam pertanyaan asli saya (dan masih terdaftar sebagai diblokir di pengaturan firewall). Dan ya saya telah reboot berkali-kali sejak itu.
Dave
Anda dapat memeriksa dengan sniffer lalu lintas dan / atau netstat/lsof
poige
0

(sunting: Saya memperbaiki campuran UID dan PID saya sebelumnya - permintaan maaf untuk semua orang !!!)

Saya memeriksa file apa yang telah dibuka oleh proses ini, dan itu juga tidak banyak membantu. Namun, setidaknya saya tahu sekarang port apa yang ingin didengarkan (49161) dan saya bisa mencari apa port ini "dicadangkan" untuk (itu adalah port tinggi, jadi tidak benar-benar dicadangkan seperti itu, ya saya tahu).

[username]mbp:~ root# ps -ef |grep -i [r]apport
  501   306     1   0 10:52AM ??         0:00.11 /usr/libexec/rapportd
[username]mbp:~ root# lsof -p 306
COMMAND  PID  USER   FD   TYPE             DEVICE   SIZE/OFF       NODE NAME
rapportd 306 [username]  cwd    DIR                1,4        992          2 /
rapportd 306 [username]  txt    REG                1,4      44768 8591706461 /usr/libexec/rapportd
rapportd 306 [username]  txt    REG                1,4     837248 8591705719 /usr/lib/dyld
rapportd 306 [username]  txt    REG                1,4 1155805184 8591716537 /private/var/db/dyld/dyld_shared_cache_x86_64h
rapportd 306 [username]    0r   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    1u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    2u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    3u  IPv4 0x571b821607c38e93        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    4u  IPv6 0x571b82160763854b        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    5u  unix 0x571b821607941573        0t0            ->0x571b821607941c7b
rapportd 306 [username]    6u  unix 0x571b82160794069b        0t0            ->0x571b82160794050b
cepal67
sumber
1
Tolong jelaskan apa artinya backdoor bagi Anda di sini?
bmike
501 adalah UID, bukan PID! Anda perlu lsof -p 306untuk proses ini
Dave
maaf untuk kebingungan UID / PID - saya sudah memperbaikinya sekarang.
cepal67
-3

Apakah Anda baru-baru ini setuju untuk menginstal perangkat lunak untuk melindungi komunikasi dengan bank Anda? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

Bill Freese
sumber
1
Perangkat lunak itu membuat saya ngeri. Tampaknya sangat berat dan memiliki banyak kerentanan dan bahkan membuat keamanan orang jauh lebih buruk. Saya pikir ini adalah perangkat lunak Apple dan bukan tautan yang Anda sebutkan - hanya saja namanya sama.
bmike