Es gibt ja nicht Wenige, die Windows wegen genau solcher Feature bis aufs Letzte verteufeln: Dem automatischen Senden von Systemdiagnosen, Fehlerberichten usw…
OSX scheint in dieser Beziehung leider keinen Deut besser zu sein. Bestes Beispiel ist hier der Prozess SubmitDiagInfo.
Was macht SubmitDiagInfo?
SubmitDiagInfo ist ein Systemdienst, der seit OSX 10.6 Snow Leopard in gewissen Abständen anonymisiert Diagnose- und Nutzungsdaten an Apple übermittelt. Dazu gehören Berichte zu Abstürzen, Kernel Panic-en, angeschlossenen Geräten, benutzte Apps u.ä… In Apples Support Bereich gibt es ein passendes Dokument, das die Funktion ganz gut beschreibt.
Dort steht unter anderem auch, dass man diesen Dienst in den Systemeinstellungen unter Sicherheit deaktivieren kann. Das war und ist bei mir natürlich der Fall. Der Effekt ist aber gleich null. Meine Firewall poppt in schöner Regelmäßigkeit auf und zeigt an, dass sich SubmitDiagInfo verbinden möchte.
Nun kann man natürlich diesen Dienst in der Firewall komplett blockieren aber das ist hier nicht das Thema.
Die Frage ist:
“Wieso will sich hier ein Dienst trotz ausdrücklichen Verbotes mit Apples Servern verbinden?”
Habe ich irgendwas übersehen? Bitte klärt mich auf.
18.02.12, 11:04, #1
Ich hatte das noch nie. Hast du es mal kurz aktiviert und wieder deaktiviert? Vielleicht wurde die Einstellung ja irgendwo falsch registriert.
18.02.12, 12:18, #2
Alles schon gemacht. Das verhalten bleibt gleich.
18.02.12, 11:09, #3
Interessant, das ist gestern das erste Mail auch bei mir aufgepoppt. Vorher war das auch noch nicht der Fall. Was sich gestern bei mir getan hat: Update auf 10.7.3 und Installation von “Nachrichten”.
Seitdem geht trotz deaktivierter Funktion unter Sicherheit das gleiche Fenster von Little Snitch auf…
18.02.12, 11:53, #4
Vielleicht wollte SubmitDiagInfo Apple nur informieren, dass es Apple nicht mehr informieren darf?! ;)
18.02.12, 12:30, #5
Dann sniff den Traffic doch mal mit. Vielleicht kann man ja erkennen, was übertragen wird.
18.02.12, 13:41, #6
Na wir wollen doch mal hoffen, dass es eine TLS Verbindung ist. In o.g. Screenshot steht allerdings erstmal “wants to resolve”, welches wohl erstmal nur ein mehr oder minder harmloser DNS Request sein sollte, oder?
19.02.12, 17:35, #7
Ja, das ist n DNS-Request. Die Übertragung ansich sollte verschlüsselt geschehen. Alles andere wäre fahrlässig.
@Oliver,
gute Idee. Das nächste Mal sniffe ich den Traffic mal mit. Bin gespannt, was da rauskommt.
21.02.12, 20:31, #8
Sooo, ich habe jetzt mal versucht den Traffic mitzusniffen. Leider alles etwas kryptisch…
-> nslookup bringt bei der obigen radarsubmissions.apple.com Adresse die IP 17.254.2.214 heraus
Wenn man nun die ganzen Daten nach dieser IP filtert, sieht man, dass die IP innerhalb weniger Sekunden mehrere duzend Male, sowohl als Source, als auch als Destination, über den TCP Port 443 (TLS) mit dem Mac in Verbindung tritt. Es ist immer wieder von Entrust.net die Rede, die wohl für SSL-Zertifikate zuständig sind. Was genau übertragen wird, lässt sich leider (oder besser ‘Gott sei Dank’?!) nicht herausfinden…. ein kryptischer Zahlen- und Buchstabensalat…
Im Endeffekt blockiere ich diesen Dienst ab sofort in der Firewall und fertig.
18.02.12, 12:43, #9
Nur so als Hinweis für diejenigen die noch 10.6.x haben. Hier befindet sich das ganze unter Konsole>Einstellungen.
18.02.12, 15:20, #10
Laut den Logs versucht das Teil (erst seit 10.7.2, oder?), eine Whitelist oder so was von Apple zu laden. Ich glaube, das ist dieses Teil: “/Library/Application Support/CrashReporter/SubmitDiagInfo.domains”. Warum er das gefühlte zweimal am Tag tun will, erschließt sich mir allerdings nicht.
18.02.12, 20:12, #11
Hands Off ist ziemlich klasse, habe das letzte Woche auch endlich mal installiert und bin erschrocken, was Google alles von mir will … Lehrreich.
19.02.12, 11:54, #12
Ich habe in den Systemeinstellungen den Einstellungsreiter “Privatssphäre” gar nicht. Woran kann das liegen?
19.02.12, 17:33, #13
Gute Frage. Welche OSX Version hast du? Mein Screenshot ist aus 10.7.3.