Der in uBlock Origin verwendete Filter Es wurden Regeln zum Blockieren typischer Skripts zum Scannen von Netzwerkports auf dem lokalen System des Benutzers hinzugefügt. Daran möchten wir Sie im Mai erinnern Scannen lokaler Ports beim Öffnen von eBay.com. Es stellte sich heraus, dass diese Praxis nicht auf eBay und viele andere beschränkt ist (Citibank, TD Bank, Sky, GumTree, WePay usw.) verwenden beim Öffnen ihrer Seiten Port-Scans des lokalen Systems des Benutzers und verwenden Code, um Zugriffsversuche von gehackten Computern zu erkennen, die vom ThreatMetrix-Dienst bereitgestellt werden.
Im Fall von eBay wurden 14 Netzwerkports überprüft, die mit Fernzugriffsservern wie VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin und RDP verbunden sind. Vermutlich läuft die Überprüfung gerade Vorhandensein von Spuren von Systemschäden durch Schadsoftware, um betrügerische Käufe mithilfe von Botnetzen zu verhindern. Das Scannen kann auch verwendet werden, um Daten für indirekte Zwecke zu erhalten .
Eine zum Scannen verwendete Technik basiert auf dem Versuch, Verbindungen zu verschiedenen Netzwerkports des Hosts 127.0.0.1 (localhost) herzustellen . Das Vorhandensein eines offenen Netzwerkports wird indirekt anhand der unterschiedlichen Fehlerbehandlung für Verbindungen zu aktiven und nicht verwendeten Netzwerkports ermittelt. Mit WebSocket können Sie nur HTTP-Anfragen senden, aber eine solche Anfrage für einen inaktiven Netzwerkport schlägt sofort fehl und für einen aktiven Port erst, nachdem einige Zeit damit verbracht wurde, die Verbindung auszuhandeln. Darüber hinaus gibt WebSocket bei einem inaktiven Port einen Verbindungsfehlercode (ERR_CONNECTION_REFUSED) und bei einem aktiven Port einen Verbindungsaushandlungsfehlercode aus.
WebSockets können nicht nur Ports scannen, sondern auch für Angriffe auf die Systeme von Webentwicklern, die WebSocket-Handler für React-Anwendungen auf dem lokalen System ausführen. Eine externe Site kann Netzwerkports durchsuchen, das Vorhandensein eines solchen Handlers ermitteln und eine Verbindung zu ihm herstellen. Wenn der Entwickler einen Fehler macht, kann ein Angreifer an den Inhalt der Debug-Daten gelangen, der möglicherweise fragwürdige vertrauliche Informationen enthält.
Source: opennet.ru