信頼関係とは何ですか？また、着信ネットワーク接続が必要なのはなぜですか？

44

最新のMacOS 10.13.2にアップデートしたばかりで、再起動後、マシンが「rapportd」の着信ネットワーク接続を許可するように要求しました。

ブロックしてファイアウォールの設定を確認すると、これが/usr/libexec/rapportd12月1日にマシン上で作成された実行可能ファイルであることがわかります。

セキュリティ更新プログラム2017-001をインストールした1日後（2回目、自動更新では手動で更新したことに気付かなかったようです）、最近/その頃に他のソフトウェアをインストールまたは更新していません。Google Chromeはいつでも更新されるため、Chromeの更新に関連している可能性があります（最終更新日はわかりません）。

インターネットは、これは、いくつかの銀行保護プログラムに関連している示唆しているが、ここにフィットしていないようだ、とバイナリの漠然としたテキスト編集検査から、私はそれが参照することを見ることができる/System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport（フレームワーク7月に私のマシンの背中に作成・更新します10月）では、これが新しいファーストパーティOSデーモンである可能性が高いと思います。

rapportdは何をしますか？

macos daemons

— デイブ
ソース

1

マンページがありますが、あまり役に立ちません：「概要：Rapport接続フレームワークのサポートを提供するデーモン」。

— センギ

1

1.他の場所からのヒントは、ローカルのAppleデバイスの接続（およびMacのスリープ解除）を行うことを示唆しています。2. System / Library / CoreServicesにもRapportUIAgentがあります。3. 2つの起動エージェントがあります。4. rapportdは10.13.0に存在しますが、アクティブではありません。5. /System/Library/Sandbox/profiles/com.apple.rapportd.sbがあります。6. rapportd.sbおよびrapportd実行可能ファイルのテキストには、airplay、wifi、bluetooth、ペアリング、およびホームキットが含まれます。

— ギルビー

他のアップルデバイスがmbpに接続しようとしたのだと思います。

— ビジョンチャン

この種のものについてはあまり知りませんが、接続しようとする試みは私のiPhoneから来ていることに気づきました（これは私のiPhoneが接続されているIPアドレスです）。

— グイ

19

編集：マニュアルページが更新され、次のようになりました。

Daemon that enables Phone Call Handoff and other communication features between Apple devices.

私はちょうど同じ経験をしました。マニュアルページには、それが

Daemon providing support for the Rapport connectivity framework.

コード署名を確認するcodesign -dv --verbose=4 /usr/libexec/rapportdと、Appleによって署名されていることが示され、PrivateFramework（Appleは他のユーザーには許可しない）とSIPで保護された場所（SIPをオフにしない限り）にリンクされているため、これは正当なAppleのようですソフトウェア。マニュアルページには、それがコミュニケーションに関連していることが暗示されていますが、実際のドキュメントはまだ見つかっていません。

（コード署名のヒントについてはJohn Keatesに感謝します。）

— 穏やかな
ソース

Appleがそれを許可したからといって、それを「正当な」ものにしない。Appleは、2012年10月からユーザーに関する情報を収集し、州のセキュリティ機関と共有しています。私にはiPhoneがなく、他のAppleデバイスと共有するためのセキュリティホールを開けたくありません。

— Foliovision

2

「PrivateFramework（Appleは他の人を許可しない）にリンクされています」：Appleは、App Storeで配布する予定がない限り、これを気にしません。実際、私が取り組んでいるアプリの1つはプライベートフレームワークへのリンクであり、Appleはそれをうまく署名させてくれました。

— -saagarjha

15

既に投稿されているものに加えて、/ usr / libexec / rapportdはAppleによって署名され、PrivateFramework（Appleは他者を許可しないため、他者を署名しない）にリンクされたコードであり、SIPで保護されていますロケーション。SIPをオフにしない限り、これはOSの一部であり、Appleが提供しています。

これはコマンドラインで確認できます。

codesign -vvvv -R="anchor apple" /usr/libexec/rapportd

次のようなレポートが表示されます。

/usr/libexec/rapportd: valid on disk
/usr/libexec/rapportd: satisfies its Designated Requirement
/usr/libexec/rapportd: explicit requirement satisfied

リンクされているライブラリを表示するには：

otool -L /usr/libexec/rapportd

次のようなものが表示されます：

/usr/libexec/rapportd:
    /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0)
    /System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0)
    /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0)
    /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0)
    /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)

— ジョン・キーツ
ソース

1

「Appleが他人を許可していないため、他人の署名をしていない」：自分で試してみてください。あなたはそれがうまく動作することがわかります：

echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test

— saagarjha

PrivateFrameworks、およびFrameworksではなくAppleがコード署名し、自分でローカルにコード署名しました。

— ジョンキーツ

4

申し訳ありませんが、私は

echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test

。私たちが議論していることを考えると、かなり残念なタイプミスです。また、アドホック証明書ではなく、Mac Developer証明書でこれに署名しました。

— -saagarjha

12

iTunesのホームシェアリングとiTunesを制御するリモートアプリに使用されていると思います。

これは、リトルスニッチがブロックしているために見つかりました。誤ってダイアログを閉じたために、iTunesのリモートスタッフが機能しなかった理由を見つけることができませんでした。

許可すると、携帯電話でラップトップでiTunesが表示され、iTunes Home Sharingが検出されます。

— ダリウス
ソース

私はこのマシンでiOSデバイスを同期したことはありませんが、iTunesホームシェアリングを使用rapportdし、ipv4とipv6の両方でTCP *：65530（LISTEN）を開いて実行していますが、ポート65530は非常に生意気な高いポート番号6可能な限り最高の下にはありがたいことに、それがうまくいけば、合法的なソフトウェアのように聞こえる

— Tomachi

6

私自身の痛み^ Wの経験から、少なくともテキストメッセージの転送（リレー）が機能するにはこのサービスが必要であることがわかります。

たとえば、ファイアウォールでブロックすると、iPhoneの設定で「テキストメッセージ転送」項目に大きな大胆な禁止が課されます。実際、そこにはまったく表示されません

— ポワジ
ソース

面白い。マシン上でrapportdをブロックしましたが、iMessageとテキストメッセージ転送の両方が正常に機能しています。別のブロックされたサービスもありますか？

— デイブ

どのようにブロックしましたか？それをした後、リブートしましたか？

— poige

最初の質問で述べたように、要求時に「拒否」を選択します（ファイアウォール設定でブロックされたままになっています）。はい、それ以来何度も再起動しました。

— デイブ

あなたは、トラフィックスニファおよび/またはを確実に確認することができますnetstat/lsof

— poige

6

man rapportdターミナルに入力します。これは出力です：

NAME
     rapportd -- Rapport Daemon.

SYNOPSIS
     Daemon that enables Phone Call Handoff and other communication features between Apple devices.

     Use '/usr/libexec/rapportd -V' to get the version.

LOCATION
     /usr/libexec/rapportd

— ヴィクトル
ソース

0

（編集：UIDとPIDの以前の組み合わせを修正しました-皆に謝罪!!!）

このプロセスで開いているファイルを確認しましたが、それでもあまり役に立ちません。ただし、少なくとも、どのポートでリッスンしようとしているのかがわかりました（49161）。このポートが「予約」されているものを検索できます（高いポートであるため、予約されていません）。

[username]mbp:~ root# ps -ef |grep -i [r]apport
  501   306     1   0 10:52AM ??         0:00.11 /usr/libexec/rapportd
[username]mbp:~ root# lsof -p 306
COMMAND  PID  USER   FD   TYPE             DEVICE   SIZE/OFF       NODE NAME
rapportd 306 [username]  cwd    DIR                1,4        992          2 /
rapportd 306 [username]  txt    REG                1,4      44768 8591706461 /usr/libexec/rapportd
rapportd 306 [username]  txt    REG                1,4     837248 8591705719 /usr/lib/dyld
rapportd 306 [username]  txt    REG                1,4 1155805184 8591716537 /private/var/db/dyld/dyld_shared_cache_x86_64h
rapportd 306 [username]    0r   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    1u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    2u   CHR                3,2        0t0        308 /dev/null
rapportd 306 [username]    3u  IPv4 0x571b821607c38e93        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    4u  IPv6 0x571b82160763854b        0t0        TCP *:49161 (LISTEN)
rapportd 306 [username]    5u  unix 0x571b821607941573        0t0            ->0x571b821607941c7b
rapportd 306 [username]    6u  unix 0x571b82160794069b        0t0            ->0x571b82160794050b

— cepal67
ソース

1

ここでバックドアとはどういう意味ですか？

— bmike

501はPIDではなくUIDです！lsof -p 306このプロセスに必要なこと

— デイブ

UID / PIDの混乱にごめんなさい-今修正しました。

— cepal67

-3

最近、銀行との通信を保護するソフトウェアをインストールすることに同意しましたか？https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport

— ビル・フリーズ
ソース

1

そのソフトウェアは私をcrさせます。それは非常に重く、多くの脆弱性があるようで、実際に人々のセキュリティをはるかに悪化させます。ただし、これはアップルのソフトウェアであり、あなたが言及したリンクではないと思います-名前が同じであるだけです。

— bmike