apsd - Demone del servizio di notifica push Apple
Eseguendo il campionamento del processo in esecuzione nel Monitor attività, ottengo questo:
Percorso: /System/Library/PrivateFrameworks/ApplePushService.framework/apsd
Versione: 206.2
Tipo di codice: X86-64
Processo principale: launchd [1]
Il processo viene avviato all'avvio del sistema e rimane costantemente attivo. Ogni 15 minuti viene generato un messaggio di log nel file system.log (visualizzabile dall'app Console), contenente un avviso che esiste un certificato foglia non riconosciuto . Ho usato tcpdump / Wireshark per campionare il traffico di rete quattro volte (solo per essere sicuro).
Prima volta:
Destinazione: 4-courier.push.apple.com (17.172.232.62)
Porto: 5223
Seconda volta:
Destinazione: 14-courier.push.apple.com (17.149.32.65)
Porto: 5223
Terza volta:
Destinazione: 44-courier.push.apple.com (17.172.233.136)
Porta: 5223
Quarta volta:
Destinazione: 23-courier.push.apple.com (17.149.36.193)
Porto: 5223
Gli indirizzi IP appartengono davvero a Apple,
NetRange: 17.0.0.0 - 17.255.255.255
CIDR: 17.0.0.0/8
OriginAS:
NetName: APPLE-WWNET
NetHandle: NET-17-0-0-0-1
OrgName: Apple Inc.
OrgId: APPLEC-1-Z
Address: 20400 Stevens Creek Blvd., City Center Bldg 3
City: Cupertino
StateProv: CA
PostalCode: 95014
Country: US
RegDate: 2009-12-14
Updated: 2011-03-08
Ref: http://whois.arin.net/rest/org/APPLEC-1-Z
Il traffico era (come previsto) SSL su personalizzato
porta 5223 come descritto qui: link
Porta: 5223
TCP o UDP: TCP
Nome del servizio o del protocollo: Servizio di notifica push di Apple
RFC: -
Nome servizio: -
Usato da / Ulteriori informazioni: Servizi di iCloud DAV (contatti, calendari e segnalibri ), APNS, FaceTime, Game Center, Photo Stream, Back to My Mac
Il certificato che il server sta inviando tuttavia si presenta come segue:
Identity: courier.push.apple.com
Verified by: Entrust Certification Authority - L1C
Expires: 11/21/2015
Subject Name
C (Country): US
ST (State): California
L (Locality): Cupertino
O (Organization): Apple Inc.
CN (Common Name): courier.push.apple.com
Apple ha ovviamente cambiato qualcosa nello schema di bilanciamento del carico perché apsd non si collega mai direttamente al dominio courier.push.apple.com . E il servizio non è raggiungibile attraverso tale dominio se si tenta di connettersi manualmente dal browser (come collegamento ).
Tuttavia sui sottodomini menzionati:
link
link
link
link
È possibile e viene visualizzato l'errore: "Questo certificato non è valido (mancata corrispondenza del nome host)" . Quello che credo stia accadendo è che apsd sta riportando la stessa cosa, ma gli sviluppatori hanno deciso di scriverlo nei registri come "certificato di foglia non riconosciuto".
Apple dovrebbe creare un nuovo certificato che includa un carattere jolly ( CN (Nome comune): * courier.push.apple.com) per correggere questo problema. Ho inviato un rapporto Commenti / Bug su link
Ma questo potrebbe essere più grave di un semplice messaggio di log, se apsd sta effettivamente ignorando il certificato sbagliato e sta semplicemente continuando a lavorare!
Continua qui: È Apple l'implementazione del servizio di notifica push vulnerabile a un attacco MitM