apsd baut beim Login Verbindung zu 2.22.8.25

[thsowa]

Hallo,
Habe gerade gemerkt, dass apsd [/System/Library/PrivateFrameworks/ApplePushService.framework] versucht Login Verbindungen zu den IP’s 2.22.8.25 und 2.22.8.44 aufzubauen. Normalerweise ist apsd ein legitimer Teil des OS, aber ich vermute hier ist was faul.

Hinter beiden IP's steckt ein Server mit offenen Ports (80 und 443), aber als ich versucht habe in einer VM eine http:// oder https:// Verbindung aufzubauen wurde ich mit "Invalid URL" gegrüßt - im Fall von https:// sogar nachdem ich ein Zertifikat akzeptieren musste. Das "Invalid URL" ist im HTML Code der Webseite, wie ich es sehen konnte.

Hat jemand schon sowas ähnliches gesehen, oder kann mir helfen herauszufinden was da passiert? Ich könnte nicht viel mehr zu den Webseiten herausfinden. Habe aber gesehen das die apsd file auf meinem Mac gestern geändert wurde, oder zumindest sagt das die Datumsangabe.

Ich komme hier leider alleine nicht weiter voran. Eine Alternative wäre vom TM-Backup zurückzusetzen, aber dann hätte weder ich noch, möglicherweise andere Betroffene etwas davon gelernt. Vielen Dank im Voraus!

 

[Olivetti]

das sind einfach IPs von akamai.

 

[Suendenbock]

das sind einfach IPs von akamai.

Und was machen diese Verbindungen? Ich halte die Form der Antwort für ein wenig unreflektiert und hilft dem Threadersteller bestimmt nicht wirklich weiter. Oder ist irgendwo dokumentiert und nachprüfbar was genau bei apsd geschieht? (Ich meine damit nicht, was Apple offiziell angibt, wofür der Dienst ist)

Hat jemand schon sowas ähnliches gesehen, oder kann mir helfen herauszufinden was da passiert?

Diese Verbindungen (Apple Push Notification Service Daemon für FaceTime) können komplett harmlos sein oder auch nicht. Das ist im Allgemeinen mit der Nachprüfbarkeit immer so eine Sache bei proprietären Systemen sowie deren Infrastrukturen. Und nach meiner Ansicht nach sind die Betriebssysteme von Apple wie OS X und iOS jedenfalls Malware. Zudem sehe ich ja, dass Du dir Gedanken darüber machst. Das ist wichtig. Vielleicht möchtest Du ja auch irgendwann mal ein quelloffenes Betriebssystem als Alternative in Betracht ziehen?

 

[thsowa]

das sind einfach IPs von akamai.

Danke Olivetti, allerdings hoffte ich mehr zu den IP's erfahren zu können, vor allem warum ein Server hinter den genannten Ports läuft, und warum diese "Invalid URL"... Ein DNS lookup sagt zwar, dass die IP's Teil einer ganzen range sind, die zu Akamai gehören, aber ich habe da auch etwas über Mirai in Akamai irgendwo gelesen und überlege, ob IP's auch gehijackt werden können...

 

[thsowa]

Diese Verbindungen (Apple Push Notification Service Daemon für FaceTime) können komplett harmlos sein oder auch nicht.

Danke Suendenbock, könntest du dazu etwas mehr sagen? Könnte ich das apsd mit einem he Editor öffnen und nach Spuren suchen an denen ich erkennen könnte ob es "maliciously" verändert wurde? Hast du schon von Fällen gehört in denen dieser Dienst missbraucht wurde?

Vielleicht möchtest Du ja auch irgendwann mal ein quelloffenes Betriebssystem als Alternative in Betracht ziehen?

Ich nutze bereits seit einigen Jahren auch Linux, und weißt das Konzept der Quelloffenheit zu schätzen, auch im Übertragenen Sinne auf die Gesellschaft, aber Apple hat ja auch bestimmte Vorzüge, die mir leider Linux noch nicht bieten kann. Danke aber, dass du dies erwähnt hast - ich hoffe selbst, dass Apple sich in diesem Sinne auch irgendwann verändert. Schließlich haben sie ja die Hardware, die immer noch gekauft werden müsste, dann könnten sie ja den größten Teil der Software, wenn nicht alles, ruhig freigeben und zur Open Source Kultur beitragen.

 

[Lor-Olli]

Da wird ein OpenSource auch nichts ändern

Akamai (könnte man ja glatt mal googlen) ist eine "unbekannte Größe".
- Unbekannt, weil kaum jemand sich Gedanken macht WIE Inhalte im WWW effizient verteilt werden,
- Größe weil Akamai weltweit über 200.000 (mittlerweile wohl eher 250 000) Server für diese Zwecke betreiben.
- Vermutlich gehören wohl so ziemlich ALLE großen Companies zu den Kunden von Akamai

Sogar beim Beteiben eines TorBrowsers werden Inhalte von "normalen Seiten" mit ziemlicher Sicherheit irgendwann auch über einen Akamai Server laufen… Natürlich ist es für Hacker reizvoll sich in solche Server einzuhacken, aber welche Server großer Firmen sind nicht interessant für diese Klientel?

edit: Man kann natürlich diese Adresse auch blocken - im Zweifelsfall wird man aber auf eine ganze Reihe von insbesondere Medieninhalten verzichten müssen…

 

[Olivetti]

was akamai ist, weisst du sicher oder kannst dich darüber informieren.
zu APNs: https://en.wikipedia.org/wiki/Apple_Push_Notification_Service
was sie machen: sie tauschen nachrichten aus, wie der name schon vermuten lässt.

die frage nach dem warum ein server dahintersteht, wundert mich doch jetzt etwas. was soll denn da sonst laufen, als ein dienst?

invalid url sagt halt aus, dass du mit einer nicht "well formed URL" da rangehst. warum sollte da etwas passendes zurückkommen, wenn du mit dem browser auf die nackte IP gehst? wenn du mit dem browser auf einen beliebigen time server gehst, kommt auch nix raus.

Mirai ist im großen und ganzen ein IoT-botnetz, das nach meinem bisherigem kenntnisstand nur linux-rechner befällt.
an sich wird die maschine gehijackt, damit indirekt die IP.

dann könnten sie ja den größten Teil der Software, wenn nicht alles, ruhig freigeben

manchmal ist es besser, das nicht zu tun.

Sogar beim Beteiben eines TorBrowsers

meinst du nicht eher tor nodes? die lässt man doch nicht über akamai.

 

[Lor-Olli]

meinst du nicht eher tor nodes? die lässt man doch nicht über akamai.

Nein, ich meinte schon was ich schrieb: Wenn man einen TorBrowser nutzt (Als eigenständiges Programm für den Mac etwa), aber Standard-Inhalte von z.B. der ARD lädt, läuft der Browser über tor nodes, allerdings wird der content vorher von der ARD in der Regel über Server - auch die von akamai - erst zur Verfügung gestellt. Dadurch kommt es immer wieder mal zu Verbindungsabbrüchen, wenn der Content - Lieferant versucht den Rechner (z.B. das OS) am Ende der Kette zu ermitteln (Standardbrowser geben diese Information weiter, TorBrowser nicht). Akamai bleibt in Tor selbstverständlich außen vor.

 

[Olivetti]

Ah OK, ich hab mich wohl an "Bet(r)eiben" fehlorientiert.

 

[thsowa]

Alles klar, danke für eure Antworten. Ich werde mich weiter informieren, aber so wie ich das jetzt hier verstanden habe, würde sich keiner von euch Gedanken machen, dass da was nicht ok ist? Also nicht prüfen wollen ob der apsd auf irgendeine Weise verändert wurde (aufgrund der komischen creation time), und auch nicht weiter Kopf zerbrechen ob die zwei IP's tatsächlich auch sind was sie vorgeben.

Das alles ist mir nur komisch vorgekommen, weil ich bis jetzt diese IP's nicht gesehen habe und sie auch ganz anders als alle anderen IP's sind die von apsd angesprochen werden. Danach kam ja auch noch das frische creation and modified Datum von apsd, und da wollte ich nachfragen wie andere in so einem Fall vorgehen würden, bzw, ob jemand ähnliches "Problem" hatte.

 

[Olivetti]

ich würde es sogar so ausdrücken, apple hat endlich gemerkt, dass ihre infrastruktur bescheiden ausgelegt ist und nutzt jetzt drittanbieter (an denen sie beteiligt sind/waren) zur entlastung; mehr steckt da IMHO nicht dahinter.

apsd creation date: kam das denn nicht nach einem update?
du könntest deine version (+macos version) hier listen + hashen, dann könnte man ja vergleichen und dir gewissheit verschaffen.