Apple Notification Service: comportamento scorretto

Question

Apple Notification Service: comportamento scorretto

#1 da (4 voti)

1

In un nuovo test iMac (eseguendo Mavericks 10.9.2) ho scoperto 2 errori ripetuti relativi a apsd (demone di Apple Push Notification Service).

Collegamenti falliti ripetuti

Un comando netstat visualizza un numero enorme di connessioni tcp non terminate correttamente. Tutte queste connessioni morte sono verso un dominio di Apple e utilizzano la porta 5223/tcp . In realtà ho 400 di loro:

$ netstat -An 
Active Internet connections
Socket           Flowhash Proto Recv-Q Send-Q  Local Address      Foreign Address    (state)    
[...]
ffffff8024040d88 c23b1438 tcp4       0      0  •••.My_IP.••.50929 17.149.36.133.5223 ESTABLISHED
ffffff8022ef8d88 31793d40 tcp4       0    106  •••.My_IP.••.50604 17.149.32.8.5223   FIN_WAIT_1 
ffffff8022cc2d88 c977e8ee tcp4       0    143  •••.My_IP.••.50491 17.172.232.142.522 FIN_WAIT_1 
[...]

Certificati non validi ripetuti

Ogni 90 minuti, apsd indica che non può riconoscere un certificato. Un grande grep su system.log logs mostra questo errore ripetuto:

$ zgrep apsd /var/log/system.log.[0-6].gz
[...]
/var/log/system.log.0.gz:May 25 00:48:01 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
/var/log/system.log.0.gz:May 25 02:18:22 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
/var/log/system.log.0.gz:May 25 03:48:44 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
[...]

Documentazione correlata

Ho trovato qui il modo di spegnere questo demone:

Come disabilitare Apple Push Notification Service (apsd) su OS X 10.8?

Non ho trovato qui alcuna spiegazione su come funziona questo demone, come è stato avviato o fermato:

man apsd

Ho trovato una spiegazione corretta del comportamento di apsd che ha visto un certificato errato:

Certificato di foglia non riconosciuto .

Domande

Questo demone si comporta chiaramente male e è tipico di molti problemi di sicurezza (connessione errata, convalida di certificati errati, perdita di dati ...).

Come dovrebbe funzionare questo demone?
A quale servizio è utile?
Questo demone funziona con questi ripetuti comportamenti scorretti?
Come posso controllarlo?
Come avrei potuto licenziare questo demone malfatto?
E infine, non dovrei fermarlo definitivamente?

security mavericks daemons

posta daniel Azuelos 26.05.2014 - 16:37

fonte

1 risposta

Leggi altre domande sui tag security mavericks daemons

Copia le impostazioni e le preferenze sul nuovo Mac MacBook Pro retina, riparazione hardware - consulenza

score 4 · Accepted Answer

Il servizio è utilizzato per la consegna delle notifiche push. Le notifiche push di solito compaiono nel Centro di notifica nell'angolo in alto a destra del desktop. Leggi di più qui:

link

Se disattivi il servizio, probabilmente perderai le notifiche per eventi come messaggi iMessage ricevuti, chiamate Facetime e notifiche dai siti web da cui hai richiesto le notifiche.

Da quello che scrivi, non sembra esserci un valido motivo per disabilitarlo. È un normale servizio di sistema che non dovrebbe rappresentare un problema per il tuo sistema.

Le connessioni nello stato FIN_WAIT_1 non rappresentano un problema per il tuo sistema. Puoi tranquillamente ignorarlo (in quei numeri).

Puoi tranquillamente ignorare il messaggio di log. Il messaggio di log non indica che c'è stata una "fuga di dati" come tale.

Il motivo del messaggio di registro è che Apple utilizza un numero elevato di server per l'invio delle notifiche push. Il tuo computer si connetterà a un (un po ') casuale di quei server. Il server presenterà un certificato generico per il servizio e non uno personalizzato per l'esatto "sub-server" al quale ci si è connessi. Questa è la causa del messaggio di log. Questo è qualcosa che Apple ha bisogno di riparare sui loro server, ma è un bug noto e non qualcosa di cui tu stesso puoi fare qualcosa.

Questo non significa che tu perdi la crittografia o qualcosa del genere, ma potrebbe significare che il tuo sistema potrebbe essere vulnerabile a un attacco Man-In-The-Middle, in cui potresti ricevere notifiche push falsificate. Se questo è davvero il caso richiederebbe ulteriori ricerche. È molto probabile che Apple abbia utilizzato una sorta di blocco dei certificati o simile per evitare questo tipo di exploit. La probabilità che tu debba essere attaccata in questo modo è comunque piuttosto bassa. Cioè non preoccuparti per questo.

Non vedo perché dici che il demone sta "comportandosi male". Non si comporta in modo anomalo più sul tuo computer che su qualsiasi altro computer. Si potrebbe dire che si comporta male, ma lo fa dal design di Apple. Quindi, invece, crea segnalazioni di bug con Apple per far loro sapere che stai riscontrando un problema.

Ovviamente, se in realtà non usi le Notifiche Push per nulla, puoi tranquillamente disabilitarlo.