Az uBlock Originben használt szűrő hozzáadott szabályokat a tipikus hálózati port-ellenőrző szkriptek blokkolására a felhasználó helyi rendszerén. Emlékeztetjük Önöket, hogy májusban helyi portok vizsgálata az eBay.com megnyitásakor. Kiderült, hogy ez a gyakorlat nem korlátozódik az eBay-re és sok másra (Citibank, TD Bank, Sky, GumTree, WePay stb.) a felhasználó helyi rendszerének portszkennelését használják oldalaik megnyitásakor, kód segítségével észlelik a ThreatMetrix szolgáltatás által biztosított, feltört számítógépekről érkező hozzáférési kísérleteket.
Az eBay esetében 14 olyan hálózati portot ellenőriztek, amelyek olyan távoli hozzáférésű szerverekhez kapcsolódnak, mint a VNC, a TeamViewer, az Anyplace Control, az Aeroadmin, az Ammy Admin és az RDP. Valószínűleg az ellenőrzés folyamatban van rosszindulatú programok által okozott rendszerkárosodás nyomainak jelenléte a botneteket használó csalárd vásárlások megelőzése érdekében. A szkennelés közvetett adatgyűjtésre is használható .
A szkenneléshez használt technika azon alapul, hogy megpróbálnak kapcsolatot létesíteni a 127.0.0.1 (localhost) gazdagép különböző hálózati portjaival. . A nyitott hálózati port jelenléte közvetetten az aktív és a használaton kívüli hálózati portokhoz való csatlakozások hibakezelési különbségei alapján kerül meghatározásra. A WebSocket csak HTTP kérések küldését teszi lehetővé, de az inaktív hálózati portra vonatkozó ilyen kérés azonnal meghiúsul, az aktív port esetében pedig csak azután, hogy egy kis időt eltöltött a kapcsolat egyeztetése. Ezenkívül inaktív port esetén a WebSocket kapcsolódási hibakódot (ERR_CONNECTION_REFUSED), aktív port esetén pedig kapcsolategyeztetési hibakódot ad ki.
A portszkennelés mellett a WebSockets is képes a WebSocket-kezelőket a React alkalmazásokhoz a helyi rendszeren futtató webfejlesztők rendszerei elleni támadásokhoz. Egy külső oldal kereshet a hálózati portokon, meghatározhatja egy ilyen kezelő jelenlétét, és csatlakozhat hozzá. Ha a fejlesztő hibát követ el, a támadó megszerezheti a hibakeresési adatok tartalmát, amelyek vázlatosan érzékeny információkat is tartalmazhatnak.
Forrás: opennet.ru