uBlock Origin начал блокировать скан портов localhost с популярных сайтов



    После недавнего обновления списка фильтров расширение uBlock Origin научилось блокировать сайты, которые сканируют порты вашего локального компьютера через WebSockets.

    Несколько недель назад стало известно, что eBay сканирует порты посетителей своего сайта на наличие программ удалённого доступа Windows (RDP). Судя по всему, eBay делает это для лучшего выявления потенциального мошенничества (фрода). Впоследствии выяснилось, что тем же занимается ещё как минимум 11 других сайтов.

    Специалисты по разведке и кибербезопасности из компании DomainTools опубликовали список доменов со скриптами-сканерами.

    На самом деле сканирование портов осуществляет система оценки рисков ThreatMetrix от компании, установленная на сервере. Она использует WebSockets для сканирования компьютера на наличие определённых открытых портов на адресе 127.0.0.1 (localhost).

    Ниже перечислены порты и связанные с ними программы удалённого доступа, которые проверяет ThreatMetrix, а также их коды при сканировании.

    Программа Код Порт
    Unknown REF 63333
    VNC VNC 5900
    VNC VNC 5901
    VNC VNC 5902
    VNC VNC 5903
    Remote Desktop Protocol RDP 3389
    Aeroadmin ARO 5950
    Ammyy Admin AMY 5931
    TeamViewer TV0 5939
    TeamViewer TV1 6039
    TeamViewer TV2 5944
    TeamViewer TV2 6040
    Anyplace Control APC 5279
    AnyDesk ANY 7070

    После скандала со сканированием портов также выяснилось, что uBlock Origin и другие блокировщики рекламы под Chrome не блокируют сканирование портов с тестируемых сайтов. Но буквально в течение нескольких дней ситуация изменилась — и uBlock Origin начал блокировать сканы.

    «Я ничего не менял в коде программы по этому конкретному поводу, — прокомментировал Раймонд Хилл (Raymond Hill), разработчик uBlock Origin. — Так что вполне возможно, что соответствующие записи были добавлены в списки фильтров или сами сайты решили раскрыть сервер ThreatMetrix».

    Встроенный логгер uBlock Origin позволяет найти правила, которые блокируют скрипт сканирования портов. С его помощью можно установить, что скрипт сканирования src.ebay-us.com/fp/check.js блокируется списком фильтров EasyPrivacy.


    Логгер uBlock Origin

    История коммитов EasyPrivacy показывает, что соответствующее правило для ebay.com было добавлено в мастер 9 дней назад.

    Сканирование с других сайтов предотвращается с помощью правила блокировки фрагмента /fp/tags.js?, который всегда присутствует в строке вызова скрипта.



    Теперь список EasyPrivacy успешно блокирует скан портов у посетителей eBay, Ameriprise, Citi, TD Bank, Lendup, BeachBody, Equifax IQ Connect и Sky. Однако порты по-прежнему прощупываются у пользователей, которые заходят на TIAA.org, Chick-Fil-A, Gumtree и WePay.

    См. также:

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 5

      +2
      Отлично, нужно внести в список сайт ростелекома
        0
        16:48:25​money.yandex.ru 127.0.0.1 * block​--​s4.money.yandex.net​3,3​websocket​wss://127.0.0.1:5903/
        16:48:23​money.yandex.ru 127.0.0.1 * block​--​s4.money.yandex.net​3,3​websocket​wss://127.0.0.1:5902/
        16:48:21​money.yandex.ru 127.0.0.1 * block​--​s4.money.yandex.net​3,3​websocket​wss://127.0.0.1:5901/
        16:48:19​money.yandex.ru 127.0.0.1 * block​--​s4.money.yandex.net​3,3​websocket​wss://127.0.0.1:5900/
        16:48:18​​​s4.money.yandex.net​3,1​script​https://s4.money.yandex.net/fp/clear3.png;CIS3SID=

        А "/fp/clear3.png" нет.
          0
          Подскажите пожалуйста, а для чего это делается и какие могут быть последствия? И какие есть варианты предотвращения этого? (uBlock и так использую)
            0
            Чтобы у фрод-аналитика ебея, яндекс.мани и прочих накидывался трет-скор на сессию, и при превышении высвечивался алерт, что акк, возможно, угнан, что-то делается не пользователем, включен тимвьюер и прочее. И если это нехарактерная для юзера активность, переводы и прочие связанные с баблом активности блочились «до выяснения».
              +1
              Подскажите пожалуйста, а для чего это делается и какие могут быть последствия?

              Представим, что у вас на 192.168.0.1 находится роутер известной фирмы с логином/паролем admin/admin.


              Сайт example.com может создать поддомен hack1.example.com, который будет резолвиться в 192.168.0.1. Далее с web страницы идет запрос на свой поддомен (hack1.example.com), в качестве логина/пароля используются популярные сочетания.


              В итоге сайт example.com может подобрать пароль от роутера и, например, поменять dns на фишингово-рекламный, своровать wifi пароль, залить свою прошивку и тд.

            Only users with full accounts can post comments. Log in, please.