El filtre utilitzat a uBlock Origin han afegit regles per bloquejar els scripts típics d'exploració de ports de xarxa al sistema local de l'usuari. Us ho recordem al maig escanejant ports locals en obrir eBay.com. Va resultar que aquesta pràctica no es limita a eBay i molts (Citibank, TD Bank, Sky, GumTree, WePay, etc.) utilitzen l'exploració de ports del sistema local de l'usuari quan obren les seves pàgines, utilitzant codi per detectar intents d'accés des d'ordinadors piratejats proporcionats pel servei ThreatMetrix.
En el cas d'eBay, es van comprovar 14 ports de xarxa associats a servidors d'accés remot com VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin i RDP. Probablement s'està comprovant en curs presència de rastres de danys al sistema per programari maliciós per tal d'evitar compres fraudulentes amb botnets. L'escaneig també es pot utilitzar per obtenir dades indirectes .
Una tècnica utilitzada per escanejar es basa en intentar establir connexions a diversos ports de xarxa de l'amfitrió 127.0.0.1 (localhost) mitjançant . La presència d'un port de xarxa obert es determina indirectament en funció de la diferència en la gestió d'errors per a les connexions a ports de xarxa actius i no utilitzats. WebSocket us permet enviar només sol·licituds HTTP, però aquesta sol·licitud per a un port de xarxa inactiu falla immediatament, i per a un port actiu només després d'haver passat un temps intentant negociar la connexió. A més, en el cas d'un port inactiu, WebSocket emet un codi d'error de connexió (ERR_CONNECTION_REFUSED) i, en el cas d'un port actiu, un codi d'error de negociació de connexió.
A més de l'exploració de ports, WebSockets també ho pot fer per als atacs als sistemes de desenvolupadors web que executen gestors WebSocket per a aplicacions React al sistema local. Un lloc extern pot cercar a través de ports de xarxa, determinar la presència d'aquest gestor i connectar-s'hi. Si el desenvolupador s'equivoca, un atacant pot obtenir el contingut de les dades de depuració, que poden incloure informació confidencial incompleta.
Font: opennet.ru