Il filtro utilizzato in uBlock Origin aggiunte regole per bloccare i tipici script di scansione delle porte di rete sul sistema locale dell'utente. Ricordiamolo a maggio scansione delle porte locali all'apertura di eBay.com. Si Γ¨ scoperto che questa pratica non Γ¨ limitata a eBay e molti altri (Citibank, TD Bank, Sky, GumTree, WePay, ecc.) utilizzano la scansione delle porte del sistema locale dell'utente quando aprono le loro pagine, utilizzando il codice per rilevare i tentativi di accesso da computer compromessi forniti dal servizio ThreatMetrix.
Nel caso di eBay sono state controllate 14 porte di rete associate a server di accesso remoto come VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin e RDP. Probabilmente controllo in corso presenza di tracce di danni al sistema da parte di malware al fine di prevenire acquisti fraudolenti tramite botnet. La scansione puΓ² essere utilizzata anche per ottenere dati indiretti .
Una tecnica utilizzata per la scansione si basa sul tentativo di stabilire connessioni a varie porte di rete dell'host 127.0.0.1 (localhost) tramite . La presenza di una porta di rete aperta viene determinata indirettamente in base alla differenza nella gestione degli errori per le connessioni alle porte di rete attive e inutilizzate. WebSocket consente di inviare solo richieste HTTP, ma tale richiesta per una porta di rete inattiva fallisce immediatamente e per una porta attiva solo dopo aver trascorso un po' di tempo nel tentativo di negoziare la connessione. Inoltre, nel caso di una porta inattiva, WebSocket emette un codice di errore di connessione (ERR_CONNECTION_REFUSED) e, nel caso di una porta attiva, un codice di errore di negoziazione della connessione.
Oltre alla scansione delle porte, i WebSocket possono anche per attacchi ai sistemi di sviluppatori web che eseguono gestori WebSocket per applicazioni React sul sistema locale. Un sito esterno puΓ² effettuare ricerche nelle porte di rete, determinare la presenza di tale gestore e connettersi ad esso. Se lo sviluppatore commette un errore, un utente malintenzionato puΓ² ottenere il contenuto dei dati di debug, che potrebbero includere informazioni sensibili imprecise.
Fonte: opennet.ru