Ich habe gerade auf das neueste MacOS 10.13.2 aktualisiert und nach dem Neustart wurde ich von meinem Computer aufgefordert, eingehende Netzwerkverbindungen für "rapportd" zuzulassen.
Nachdem ich es blockiert und die Firewall-Konfiguration eingecheckt habe, kann ich sehen, dass dies eine ausführbare Datei ist, /usr/libexec/rapportd
die am 1. Dezember auf meinem Computer erstellt wurde.
Das ist ein Tag, nachdem ich das Sicherheitsupdate 2017-001 installiert habe (zum zweiten Mal; das automatische Update schien nicht zu bemerken, dass ich es manuell aktualisiert habe), und ich habe in letzter Zeit / um diese Zeit keine andere Software installiert oder aktualisiert . Google Chrome wird aktualisiert, wann immer es sich anfühlt. Dies kann also mit einem Chrome-Update zusammenhängen (keine Ahnung, wann es zuletzt aktualisiert wurde).
Das Internet geht davon aus, dass dies mit einem Bankschutzprogramm zusammenhängt, aber das scheint hier nicht zu passen, und anhand einer vagen Überprüfung der Binärdatei in Textform kann ich feststellen, dass es auf /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport
ein Framework verweist, das bereits im Juli auf meinem Computer erstellt und aktualisiert wurde im Oktober), was mich zu der Annahme veranlasst, dass dies wahrscheinlich ein neuer Erstanbieter-OS-Daemon ist.
Was macht rapportd?
Antworten:
BEARBEITEN: Es sieht so aus, als ob die Manpage aktualisiert wurde und nun lautet:
Daemon that enables Phone Call Handoff and other communication features between Apple devices.
Ich hatte gerade die gleiche Erfahrung. Die Manpage gibt an, dass es sich um Folgendes handelt:
Daemon providing support for the Rapport connectivity framework.
Wenn
codesign -dv --verbose=4 /usr/libexec/rapportd
Sie die Codesignatur mit überprüfen, wird angezeigt, dass sie von Apple signiert ist, und da sie mit einem PrivateFramework (das Apple für andere nicht zulässt) und an einem durch SIP geschützten Ort verknüpft ist (es sei denn, Sie haben SIP deaktiviert), scheint dies legitim zu sein Software. Die Manpage impliziert, dass es sich um Kommunikation handelt, obwohl ich noch keine wirkliche Dokumentation dazu gefunden habe.(Vielen Dank an John Keates für den Code-Signatur-Tipp.)
quelle
Zusätzlich zu dem, was bereits gepostet wurde, ist / usr / libexec / rapportd von Apple mit Code signiert und mit einem PrivateFramework (das Apple nicht für andere zulässt und daher nicht für andere signiert) und einem SIP-geschützten Code verknüpft Standort. Sofern Sie SIP nicht ausschalten, ist dies nur ein Teil des Betriebssystems, das von Apple bereitgestellt wird.
Sie können dies in der Kommandozeile überprüfen:
Dies sollte etwa Folgendes anzeigen:
So zeigen Sie, mit welchen Bibliotheken verknüpft sind:
Welches zeigt so etwas wie:
quelle
echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
. Ein ziemlich unglücklicher Tippfehler angesichts dessen, was wir besprechen. Außerdem habe ich dieses Zertifikat mit meinem Mac-Entwicklerzertifikat signiert, kein Ad-hoc-Zertifikat.Ich glaube, es wird für iTunes Home Sharing und die Remote-App zur Steuerung von iTunes verwendet.
Ich habe das herausgefunden, weil Little Snitch es blockiert hat und ich nicht herausfinden konnte, warum das iTunes Remote-Zeug nicht funktioniert hat, weil ich versehentlich den Dialog geschlossen habe :)
Sobald ich es zugelassen hatte, konnte mein Handy iTunes auf meinem Laptop sehen und iTunes Home Sharing entdecken.
quelle
rapportd
TCP *: 65530 (LISTEN) sowohl auf ipv4 als auch auf ipv6 geöffnet. Ich dachte, Port 65530 sei eine ziemlich freche, hohe Portnummer, nur sechs unter dem höchstmöglichen, aber zum Glück klingt es hoffentlich nach legitimer SoftwareAus eigener Erfahrung kann ich sagen, dass dieser Dienst zumindest für die Weiterleitung von Textnachrichten (Relaying) benötigt wird.
Wenn es beispielsweise mit der Firewall blockiert wird, wird die Option "SMS-Weiterleitung" in den iPhone-Einstellungen stark eingeschränkt. Tatsächlich wird es dort überhaupt nicht gezeigt
quelle
netstat
/lsof
Geben Sie das
man rapportd
Terminal ein. Dies ist die Ausgabe:quelle
(edit: Ich habe meine vorherige Verwechslung von UID und PID korrigiert - entschuldige mich bei allen !!!)
Ich habe überprüft, welche Dateien dieser Prozess geöffnet hat, und das hilft auch nicht viel. Zumindest weiß ich jetzt, auf welchem Port es versucht zu lauschen (49161) und ich kann hoffentlich suchen, wofür dieser Port "reserviert" ist (es ist ein hoher Port, also nicht wirklich als solcher reserviert, ja, ich weiß).
quelle
lsof -p 306
für diesen ProzessHaben Sie kürzlich zugestimmt, Software zum Schutz der Kommunikation mit Ihrer Bank zu installieren? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport
quelle