После недавнего обновления списка фильтров расширение uBlock Origin научилось блокировать сайты, которые сканируют порты вашего локального компьютера через WebSockets.
Несколько недель назад стало известно, что eBay сканирует порты посетителей своего сайта на наличие программ удалённого доступа Windows (RDP). Судя по всему, eBay делает это для лучшего выявления потенциального мошенничества (фрода). Впоследствии выяснилось, что тем же занимается ещё как минимум 11 других сайтов.
Специалисты по разведке и кибербезопасности из компании DomainTools опубликовали список доменов со скриптами-сканерами.
На самом деле сканирование портов осуществляет система оценки рисков ThreatMetrix от компании, установленная на сервере. Она использует WebSockets для сканирования компьютера на наличие определённых открытых портов на адресе 127.0.0.1 (localhost).
Ниже перечислены порты и связанные с ними программы удалённого доступа, которые проверяет ThreatMetrix, а также их коды при сканировании.
| Программа | Код | Порт |
|---|---|---|
| Unknown | REF | 63333 |
| VNC | VNC | 5900 |
| VNC | VNC | 5901 |
| VNC | VNC | 5902 |
| VNC | VNC | 5903 |
| Remote Desktop Protocol | RDP | 3389 |
| Aeroadmin | ARO | 5950 |
| Ammyy Admin | AMY | 5931 |
| TeamViewer | TV0 | 5939 |
| TeamViewer | TV1 | 6039 |
| TeamViewer | TV2 | 5944 |
| TeamViewer | TV2 | 6040 |
| Anyplace Control | APC | 5279 |
| AnyDesk | ANY | 7070 |
После скандала со сканированием портов также выяснилось, что uBlock Origin и другие блокировщики рекламы под Chrome не блокируют сканирование портов с тестируемых сайтов. Но буквально в течение нескольких дней ситуация изменилась — и uBlock Origin начал блокировать сканы.
«Я ничего не менял в коде программы по этому конкретному поводу, — прокомментировал Раймонд Хилл (Raymond Hill), разработчик uBlock Origin. — Так что вполне возможно, что соответствующие записи были добавлены в списки фильтров или сами сайты решили раскрыть сервер ThreatMetrix».
Встроенный логгер uBlock Origin позволяет найти правила, которые блокируют скрипт сканирования портов. С его помощью можно установить, что скрипт сканирования src.ebay-us.com/fp/check.js блокируется списком фильтров EasyPrivacy.
Логгер uBlock Origin
История коммитов EasyPrivacy показывает, что соответствующее правило для ebay.com было добавлено в мастер 9 дней назад.
Сканирование с других сайтов предотвращается с помощью правила блокировки фрагмента /fp/tags.js?, который всегда присутствует в строке вызова скрипта.
Теперь список EasyPrivacy успешно блокирует скан портов у посетителей eBay, Ameriprise, Citi, TD Bank, Lendup, BeachBody, Equifax IQ Connect и Sky. Однако порты по-прежнему прощупываются у пользователей, которые заходят на TIAA.org, Chick-Fil-A, Gumtree и WePay.
См. также:
