Filtr používaný v uBlock Origin přidána pravidla pro blokování typických skriptů pro skenování síťových portů v lokálním systému uživatele. Připomeňme, že v květnu skenování místních portů při otevření eBay.com. Ukázalo se, že tato praxe se neomezuje pouze na eBay a mnohé další (Citibank, TD Bank, Sky, GumTree, WePay atd.) používají při otevírání svých stránek skenování portů lokálního systému uživatele, pomocí kódu detekují pokusy o přístup z hacknutých počítačů poskytovaných službou ThreatMetrix.
V případě eBay bylo zkontrolováno 14 síťových portů spojených se servery vzdáleného přístupu, jako jsou VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin a RDP. Pravděpodobně probíhá kontrola přítomnost stop poškození systému malwarem, aby se zabránilo podvodným nákupům pomocí botnetů. Skenování lze také použít k získání dat pro nepřímé .
Technika používaná pro skenování je založena na pokusu o vytvoření připojení k různým síťovým portům hostitele 127.0.0.1 (localhost) prostřednictvím . Přítomnost otevřeného síťového portu je určena nepřímo na základě rozdílu ve zpracování chyb pro připojení k aktivním a nepoužívaným síťovým portům. WebSocket umožňuje posílat pouze HTTP požadavky, ale takový požadavek na neaktivní síťový port selže okamžitě a na aktivní port až po nějaké době strávené pokusem o vyjednání spojení. V případě neaktivního portu navíc WebSocket vydá kód chyby připojení (ERR_CONNECTION_REFUSED) a v případě aktivního portu kód chyby vyjednávání připojení.
Kromě skenování portů mohou také WebSockets pro útoky na systémy webových vývojářů provozujících obslužné nástroje WebSocket pro aplikace React na místním systému. Externí stránka může prohledávat síťové porty, určit přítomnost takového handleru a připojit se k němu. Pokud vývojář udělá chybu, útočník může získat obsah ladicích dat, která mohou obsahovat útržkovité citlivé informace.
Zdroj: opennet.ru