Het filter dat wordt gebruikt in uBlock Origin regels toegevoegd voor het blokkeren van typische scripts voor het scannen van netwerkpoorten op het lokale systeem van de gebruiker. Laten we u daaraan herinneren in mei lokale poorten scannen bij het openen van eBay.com. Het bleek dat deze praktijk niet beperkt is tot eBay en vele anderen (Citibank, TD Bank, Sky, GumTree, WePay, etc.) gebruiken poortscans van het lokale systeem van de gebruiker bij het openen van hun pagina's, waarbij code wordt gebruikt om toegangspogingen te detecteren van gehackte computers die worden aangeboden door de ThreatMetrix-service.
In het geval van eBay werden 14 netwerkpoorten gecontroleerd die verband hielden met servers voor externe toegang, zoals VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin en RDP. Waarschijnlijk bezig met controleren aanwezigheid van sporen van systeemschade door malware om frauduleuze aankopen met botnets te voorkomen. Scannen kan ook worden gebruikt om gegevens voor indirecte doeleinden te verkrijgen .
Een voor het scannen gebruikte techniek is gebaseerd op pogingen om verbindingen tot stand te brengen met verschillende netwerkpoorten van de host 127.0.0.1 (localhost) via . De aanwezigheid van een open netwerkpoort wordt indirect bepaald op basis van het verschil in foutafhandeling voor verbindingen met actieve en ongebruikte netwerkpoorten. Met WebSocket kunt u alleen HTTP-verzoeken verzenden, maar een dergelijk verzoek voor een inactieve netwerkpoort mislukt onmiddellijk, en voor een actieve poort pas nadat er enige tijd is besteed aan het onderhandelen over de verbinding. Bovendien geeft WebSocket in het geval van een inactieve poort een verbindingsfoutcode (ERR_CONNECTION_REFUSED) af, en in het geval van een actieve poort een foutcode voor het onderhandelen over de verbinding.
Naast poortscannen kunnen WebSockets dat ook voor aanvallen op de systemen van webontwikkelaars die WebSocket-handlers voor React-applicaties op het lokale systeem uitvoeren. Een externe site kan netwerkpoorten doorzoeken, de aanwezigheid van een dergelijke handler vaststellen en er verbinding mee maken. Als de ontwikkelaar een fout maakt, kan een aanvaller de inhoud van de foutopsporingsgegevens verkrijgen, die mogelijk vage gevoelige informatie bevatten.
Bron: opennet.ru