Le filtre utilisé dans uBlock Origin ajout de règles pour bloquer les scripts d'analyse de port réseau typiques sur le système local de l'utilisateur. Rappelons qu'en mai analyser les ports locaux lors de l'ouverture d'eBay.com. Il s'est avéré que cette pratique ne se limite pas à eBay et à de nombreux (Citibank, TD Bank, Sky, GumTree, WePay, etc.) utilisent l'analyse des ports du système local de l'utilisateur lors de l'ouverture de leurs pages, en utilisant un code pour détecter les tentatives d'accès depuis des ordinateurs piratés fournis par le service ThreatMetrix.
Dans le cas d'eBay, 14 ports réseau associés à des serveurs d'accès à distance tels que VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin et RDP ont été vérifiés. Probablement vérification en cours présence de traces de dommages au système par des logiciels malveillants afin d'empêcher les achats frauduleux à l'aide de botnets. La numérisation peut également être utilisée pour obtenir des données à des fins indirectes. .
Une technique utilisée pour l'analyse consiste à tenter d'établir des connexions à différents ports réseau de l'hôte 127.0.0.1 (localhost) via . La présence d'un port réseau ouvert est déterminée indirectement en fonction de la différence de gestion des erreurs pour les connexions aux ports réseau actifs et inutilisés. WebSocket vous permet d'envoyer uniquement des requêtes HTTP, mais une telle requête pour un port réseau inactif échoue immédiatement, et pour un port actif seulement après un certain temps passé à essayer de négocier la connexion. De plus, dans le cas d'un port inactif, WebSocket émet un code d'erreur de connexion (ERR_CONNECTION_REFUSED), et dans le cas d'un port actif, un code d'erreur de négociation de connexion.
En plus de l'analyse des ports, les WebSockets peuvent également pour les attaques contre les systèmes des développeurs Web exécutant des gestionnaires WebSocket pour les applications React sur le système local. Un site externe peut effectuer une recherche via les ports réseau, déterminer la présence d'un tel gestionnaire et s'y connecter. Si le développeur fait une erreur, un attaquant peut obtenir le contenu des données de débogage, qui peuvent inclure des informations sensibles fragmentaires.
Source: opennet.ru