El filtro utilizado en uBlock Origin Se agregaron reglas para bloquear scripts típicos de escaneo de puertos de red en el sistema local del usuario. Te recordamos que en mayo escanear puertos locales al abrir eBay.com. Resultó que esta práctica no se limita a eBay y a muchos (Citibank, TD Bank, Sky, GumTree, WePay, etc.) utilizan el escaneo de puertos del sistema local del usuario al abrir sus páginas, utilizando código para detectar intentos de acceso desde computadoras pirateadas proporcionado por el servicio ThreatMetrix.
En el caso de eBay se comprobaron 14 puertos de red asociados a servidores de acceso remoto como VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin y RDP. Probablemente comprobando en progreso presencia de rastros de daños en el sistema por malware para evitar compras fraudulentas mediante botnets. El escaneo también se puede utilizar para obtener datos para fines indirectos. .
Una técnica utilizada para el escaneo se basa en intentar establecer conexiones a varios puertos de red del host 127.0.0.1 (localhost) a través de . La presencia de un puerto de red abierto se determina indirectamente en función de la diferencia en el manejo de errores para las conexiones a puertos de red activos y no utilizados. WebSocket le permite enviar solo solicitudes HTTP, pero dicha solicitud para un puerto de red inactivo falla inmediatamente, y para un puerto activo solo después de pasar algún tiempo intentando negociar la conexión. Además, en el caso de un puerto inactivo, WebSocket emite un código de error de conexión (ERR_CONNECTION_REFUSED) y, en el caso de un puerto activo, un código de error de negociación de conexión.
Además del escaneo de puertos, WebSockets también puede para ataques a los sistemas de desarrolladores web que ejecutan controladores WebSocket para aplicaciones React en el sistema local. Un sitio externo puede buscar a través de puertos de red, determinar la presencia de dicho controlador y conectarse a él. Si el desarrollador comete un error, un atacante puede obtener el contenido de los datos de depuración, que pueden incluir información confidencial incompleta.
Fuente: opennet.ru