Servicio de notificaciones push de Apple: mal comportamiento

1

En una nueva prueba del iMac (ejecutando Mavericks 10.9.2) descubrí 2 errores repetidos relacionados con apsd (demonio del servicio de notificaciones push de Apple).

Conexiones fallidas repetidas

Un comando netstat muestra una gran cantidad de conexiones tcp no terminadas correctamente. Todas estas conexiones muertas están dirigidas hacia un dominio en Apple, y usando el puerto 5223/tcp . En realidad tengo 400 :

$ netstat -An 
Active Internet connections
Socket           Flowhash Proto Recv-Q Send-Q  Local Address      Foreign Address    (state)    
[...]
ffffff8024040d88 c23b1438 tcp4       0      0  •••.My_IP.••.50929 17.149.36.133.5223 ESTABLISHED
ffffff8022ef8d88 31793d40 tcp4       0    106  •••.My_IP.••.50604 17.149.32.8.5223   FIN_WAIT_1 
ffffff8022cc2d88 c977e8ee tcp4       0    143  •••.My_IP.••.50491 17.172.232.142.522 FIN_WAIT_1 
[...]

Certificados inválidos repetidos

Cada 90 minutos, apsd indica que no puede reconocer un certificado. Un gran grep en system.log logs muestra este error repetido:

$ zgrep apsd /var/log/system.log.[0-6].gz
[...]
/var/log/system.log.0.gz:May 25 00:48:01 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
/var/log/system.log.0.gz:May 25 02:18:22 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
/var/log/system.log.0.gz:May 25 03:48:44 ••.My_name.My_domain.•• apsd[106]: Unrecognized leaf certificate
[...]

Documentación relacionada

Encontré aquí la forma de cerrar este daemon:

¿Cómo deshabilitar el Servicio de notificaciones push de Apple (apsd) en OS X 10.8?

No encontré aquí ninguna explicación sobre cómo funciona este daemon, cómo se inicia o detiene:

man apsd

Encontré aquí una explicación correcta del comportamiento de apsd al ver un certificado incorrecto:

Certificado de hoja no reconocido .

Preguntas

Este demonio es claramente mal portado y típico de muchos problemas de seguridad (conexión incorrecta, validación de certificado incorrecto, pérdida de datos ...).

¿Cómo debería funcionar este daemon?
¿Qué servicio es útil para?
¿Funciona este demonio con estas malas conductas repetidas?
¿Cómo puedo comprobarlo?
¿Cómo podría haber disparado este demonio que se comporta mal?
Y finalmente, ¿no debería dejarlo definitivamente?

    
pregunta daniel Azuelos 26.05.2014 - 16:37

1 respuesta

4

El servicio se utiliza para entregarle notificaciones push. Las notificaciones push suelen aparecer en el Centro de notificaciones en la esquina superior derecha de su escritorio. Lea más sobre esto aquí:

enlace

Si deshabilita el servicio, es probable que pierda las notificaciones de eventos como los mensajes de iMessage recibidos, las llamadas Facetime y las notificaciones de los sitios web de los que ha solicitado notificaciones.

Por lo que escribes, no parece haber una razón importante para deshabilitarlo. Es un servicio normal del sistema que no debería representar un problema para su sistema.

Las conexiones en el estado FIN_WAIT_1 no representan un problema para su sistema. Puede ignorarlo de forma segura (en esos números).

También puede ignorar con seguridad el mensaje de registro. El mensaje de registro no indica que haya habido una "fuga de datos" como tal.

El motivo del mensaje de registro es que Apple utiliza una gran cantidad de servidores para enviar sus notificaciones push. Su computadora se conectará a un servidor aleatorio (algo). El servidor presentará un certificado genérico para el servicio, y ninguno personalizado para el "sub-servidor" exacto al que se haya conectado. Esa es la causa del mensaje de registro. Esto es algo que Apple necesita arreglar en sus servidores, pero es un error conocido y no es algo que tú mismo puedas hacer.

Esto no significa que pierda el cifrado ni nada por el estilo, pero podría significar que su sistema podría ser vulnerable a un ataque Man-In-The-Middle, donde podría recibir notificaciones push falsificadas. Si ese es realmente el caso requeriría más investigación. Es muy probable que Apple emplee algún tipo de identificación de certificado o similar para evitar este tipo de explotación. La posibilidad de que te ataquen de esta manera es bastante baja. Es decir. No te preocupes por eso.

No veo por qué dices que el demonio se está "portando mal". No es portarse mal en su computadora más que en cualquier otra computadora. Se podría decir que se está comportando mal, pero lo está haciendo por el diseño de Apple. Entonces, en lugar de eso, cree informes de errores con Apple para hacerles saber que está viendo un problema.

Por supuesto, si no usa notificaciones automáticas para nada, puede desactivarlo de forma segura.

    
respondido por el jksoegaard 26.05.2014 - 17:30

Lea otras preguntas en las etiquetas