Acabei de atualizar para o MacOS 10.13.2 mais recente e, após reiniciar, minha máquina me pediu para permitir conexões de rede de entrada para o "rapportd".
Depois de bloqueá-lo e verificar a configuração do firewall, posso ver que este é um executável /usr/libexec/rapportd
que foi criado na minha máquina em 1º de dezembro.
Isso ocorre um dia após a instalação da atualização de segurança 2017-001 (pela segunda vez; a atualização automática não pareceu notar que eu a atualizei manualmente) e não instalei ou atualizei nenhum outro software recentemente / naquela época . O Google Chrome é atualizado sempre que lhe apetecer; portanto, isso pode estar relacionado a uma atualização do Chrome (não faz ideia quando foi atualizada pela última vez).
A Internet sugere que isso esteja relacionado a algum programa de proteção bancária, mas que parece não se encaixar aqui, e de uma vaga inspeção de edição de texto do binário, posso ver que ele faz referência /System/Library/PrivateFrameworks/Rapport.framework/Versions/A/Rapport
(uma estrutura criada na minha máquina em julho e atualizada em outubro), o que me faz pensar que é provável que seja um novo daemon de SO de primeira parte.
O que o rapportd faz?
Respostas:
EDIT: Parece que a página de manual foi atualizada e agora diz:
Daemon that enables Phone Call Handoff and other communication features between Apple devices.
Eu apenas tive a mesma experiência. A página do manual afirma que é um:
Daemon providing support for the Rapport connectivity framework.
A verificação da assinatura do código
codesign -dv --verbose=4 /usr/libexec/rapportd
mostra que ela é assinada pela Apple e, como está vinculada a um PrivateFramework (que a Apple não permite a outros) e em um local protegido por SIP (a menos que você tenha desativado o SIP), isso parece ser legítimo. Programas. A página de manual implica que está relacionada à comunicação, embora ainda não tenha encontrado nenhuma documentação real.(Obrigado a John Keates pela dica de assinatura de código.)
fonte
Além do que já foi publicado, / usr / libexec / rapportd é um código assinado pela Apple e vinculado a um PrivateFramework (que a Apple não permite a outros e, portanto, não assina a outros) e em um servidor protegido por SIP. localização. A menos que você desligue o SIP, isso é simplesmente parte do sistema operacional, instalado pela Apple.
Você pode verificar isso na linha de comando:
Isso deve relatar algo como:
Para mostrar a que bibliotecas estão vinculadas:
O que mostrará algo como:
fonte
echo 'int main() {}' | clang -F/System/Library/Frameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
echo 'int main() {}' | clang -F/System/Library/PrivateFrameworks -framework MobileDevice -x c - -o test; codesign -s "Your certificate" test
. Um erro bastante infeliz, dado o que estamos discutindo. Além disso, assinei isso com meu certificado de desenvolvedor Mac, e não ad-hoc.Acredito que seja usado para o Compartilhamento Familiar do iTunes e o aplicativo Remoto para controlar o iTunes.
Descobri isso porque o Little Snitch estava bloqueando e não conseguia entender por que o controle remoto do iTunes não estava funcionando porque fechei acidentalmente a caixa de diálogo :)
Depois que eu permitia, meu telefone podia ver o iTunes no meu laptop e descobrir o Compartilhamento Familiar do iTunes.
fonte
rapportd
o TCP *: 65530 (LISTEN) aberto tanto no ipv4 quanto no ipv6. abaixo do mais alto possível, mas felizmente parece software legítimo, esperoPor experiência própria, posso dizer que esse serviço é necessário pelo menos para que o encaminhamento de mensagens de texto (retransmissão) funcione.
Tê-lo bloqueado com o Firewall, por exemplo, coloca uma grande proibição em negrito no item "Encaminhamento de mensagem de texto" nas configurações do iPhone. Na verdade, nem será mostrado lá
fonte
netstat
/lsof
Digite
man rapportd
Terminal. Esta é a saída:fonte
(edit: Corrigi minha mistura anterior de UID e PID - desculpas a todos !!!)
Eu verifiquei quais arquivos esse processo abriu, e isso também não ajuda muito. No entanto, pelo menos agora eu sei em que porta está tentando ouvir (49161) e posso procurar, com sorte, para que essa porta é "reservada" (é uma porta alta, portanto não é realmente reservada como tal, sim, eu sei).
fonte
lsof -p 306
para este processoVocê recentemente concordou em instalar um software para proteger as comunicações com seu banco? https://en.wikipedia.org/wiki/Trusteer#Trusteer_Rapport
fonte