Ich habe gerade auf das neueste MacOS 10.13.2 aktualisiert und nach dem Neustart hat mich mein Computer aufgefordert, eingehende Netzwerkverbindungen für "rapportd" zuzulassen.
Nachdem ich es blockiert und die Firewall-Konfiguration überprüft habe, kann ich sehen, dass dies eine ausführbare Datei ist, /usr/libexec/rapportd
die am 1. Dezember auf meinem Computer erstellt wurde.
Das ist einen Tag, nachdem ich das Sicherheitsupdate 2017-001 installiert habe (zum zweiten Mal; Autoupdate schien nicht zu bemerken, dass ich es manuell aktualisiert hatte), und ich habe in letzter Zeit / ungefähr zu dieser Zeit keine andere Software installiert oder aktualisiert . Google Chrome wird aktualisiert, wann immer es sich anfühlt, also könnte dies mit einem Chrome-Update zusammenhängen (keine Ahnung, wann es zuletzt aktualisiert wurde).
Das Internet schlägt vor, dass dies mit einem Bankenschutzprogramm zusammenhängt, aber das scheint hier nicht zu passen, und aus einer vagen Textbearbeitungsprüfung der Binärdatei kann ich sehen, dass sie verweist /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport
(ein Framework, das im Juli auf meinem Computer erstellt und aktualisiert wurde im Oktober), was mich vermuten lässt, dass es sich wahrscheinlich um einen neuen 1st-Party OS-Daemon handelt.
Was macht rapportd?
BEARBEITEN: Es sieht so aus, als ob die Manpage aktualisiert wurde und jetzt lautet:
Daemon that enables Phone Call Handoff and other communication features between Apple devices.
Ich hatte gerade die gleiche Erfahrung. Die Manpage gibt an, dass es sich um Folgendes handelt:
Daemon providing support for the Rapport connectivity framework.
Die Überprüfung der Code-Signatur mit codesign -dv --verbose=4 /usr/libexec/rapportd
zeigt, dass sie von Apple signiert ist und sich an einem SIP-geschützten Ort befindet (es sei denn, Sie haben SIP deaktiviert), dies scheint legitime Apple-Software zu sein. Die Manpage impliziert, dass es sich um Kommunikation handelt, obwohl ich noch keine wirkliche Dokumentation darüber gefunden habe.
(Dank an John Keates für den Code-Signatur-Tipp.)
Zusätzlich zu dem, was bereits gepostet wurde, ist /usr/libexec/rapportd von Apple codesigniert und mit einem PrivateFramework verknüpft (das Apple für andere nicht zulässt und daher nicht für andere signiert) und in einem SIP-geschützten Lage. Sofern Sie SIP nicht deaktivieren, ist dies einfach ein Teil des Betriebssystems, das von Apple bereitgestellt wird.
Sie können dies in der Befehlszeile überprüfen:
codesign -vvvv -R="anchor apple" /usr/libexec/rapportd
Dies sollte etwa Folgendes melden:
/usr/libexec/rapportd: valid on disk
/usr/libexec/rapportd: satisfies its Designated Requirement
/usr/libexec/rapportd: explicit requirement satisfied
So zeigen Sie an, welche Bibliotheken verknüpft sind:
otool -L /usr/libexec/rapportd
Was so etwas wie zeigen wird:
/usr/libexec/rapportd:
/System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation (compatibility version 150.0.0, current version 1450.14.0)
/System/Library/PrivateFrameworks/CoreUtils.framework/Versions/A/CoreUtils (compatibility version 1.0.0, current version 1.0.0)
/System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport (compatibility version 0.0.0, current version 0.0.0)
/System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (compatibility version 300.0.0, current version 1450.14.0)
/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
. Ein ziemlich unglücklicher Tippfehler angesichts dessen, was wir diskutieren. Außerdem habe ich dies mit meinem Mac-Entwicklerzertifikat signiert, nicht mit einem Ad-hoc-Zertifikat.PrivateFramework
nicht der Fall ist Private
?Ich glaube, es wird für iTunes Home Sharing und die Remote-App zur Steuerung von iTunes verwendet.
Ich habe das herausgefunden, weil Little Snitch es blockiert hat und ich konnte nicht herausfinden, warum die iTunes-Remote-Sachen nicht funktionierten, weil ich versehentlich den Dialog geschlossen habe :)
Sobald ich es zugelassen hatte, konnte mein Telefon iTunes auf meinem Laptop sehen und die iTunes-Home-Freigabe entdecken.
rapportd
es mit TCP *: 65530 (LISTEN) ausgeführt, das sowohl auf IPv4 als auch auf IPv6 geöffnet ist. Ich dachte, Port 65530 sei eine ziemlich frech hohe Portnummer, nur sechs unter dem höchstmöglichen Wert, aber zum Glück klingt es hoffentlich nach legitimer SoftwareAus eigener pain^W-Erfahrung kann ich sagen, dass dieser Dienst zumindest für die SMS-Weiterleitung (Relaying) benötigt wird.
Wenn es beispielsweise mit der Firewall blockiert wird, wird das Element „SMS-Weiterleitung“ in den iPhone-Einstellungen massiv verboten. Tatsächlich wird es dort überhaupt nicht angezeigt
netstat
/lsof
Terminal man rapportd
eingeben. Dies ist die Ausgabe:
NAME
rapportd -- Rapport Daemon.
SYNOPSIS
Daemon that enables Phone Call Handoff and other communication features between Apple devices.
Use '/usr/libexec/rapportd -V' to get the version.
LOCATION
/usr/libexec/rapportd
(Bearbeiten: Ich habe meine vorherige Verwechslung von UID und PID korrigiert - Entschuldigung an alle !!!)
Ich habe überprüft, welche Dateien dieser Prozess geöffnet hat, und das hilft auch nicht viel. Aber zumindest weiß ich jetzt, auf welchem Port es zu lauschen versucht (49161) und ich kann hoffentlich suchen, wofür dieser Port "reserviert" ist (es ist ein hoher Port, also ist er nicht wirklich als solcher reserviert, ja, ich weiß).
[username]mbp:~ root# ps -ef |grep -i [r]apport
501 306 1 0 10:52AM ?? 0:00.11 /usr/libexec/rapportd
[username]mbp:~ root# lsof -p 306
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rapportd 306 [username] cwd DIR 1,4 992 2 /
rapportd 306 [username] txt REG 1,4 44768 8591706461 /usr/libexec/rapportd
rapportd 306 [username] txt REG 1,4 837248 8591705719 /usr/lib/dyld
rapportd 306 [username] txt REG 1,4 1155805184 8591716537 /private/var/db/dyld/dyld_shared_cache_x86_64h
rapportd 306 [username] 0r CHR 3,2 0t0 308 /dev/null
rapportd 306 [username] 1u CHR 3,2 0t0 308 /dev/null
rapportd 306 [username] 2u CHR 3,2 0t0 308 /dev/null
rapportd 306 [username] 3u IPv4 0x571b821607c38e93 0t0 TCP *:49161 (LISTEN)
rapportd 306 [username] 4u IPv6 0x571b82160763854b 0t0 TCP *:49161 (LISTEN)
rapportd 306 [username] 5u unix 0x571b821607941573 0t0 ->0x571b821607941c7b
rapportd 306 [username] 6u unix 0x571b82160794069b 0t0 ->0x571b82160794050b
lsof -p 306
für diesen VorgangHaben Sie kürzlich zugestimmt, Software zum Schutz der Kommunikation mit Ihrer Bank zu installieren? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport
/usr/libexec/rapportd
Scheint von Apple geliefert worden zu sein.
Sengi
Gilby
Vision Chang
Gui
geoO
geoO