Как стать автором
Обновить

uBlock Origin начал блокировать скан портов localhost с популярных сайтов

Информационная безопасностьРасширения для браузеровБраузеры


После недавнего обновления списка фильтров расширение uBlock Origin научилось блокировать сайты, которые сканируют порты вашего локального компьютера через WebSockets.

Несколько недель назад стало известно, что eBay сканирует порты посетителей своего сайта на наличие программ удалённого доступа Windows (RDP). Судя по всему, eBay делает это для лучшего выявления потенциального мошенничества (фрода). Впоследствии выяснилось, что тем же занимается ещё как минимум 11 других сайтов.

Специалисты по разведке и кибербезопасности из компании DomainTools опубликовали список доменов со скриптами-сканерами.

На самом деле сканирование портов осуществляет система оценки рисков ThreatMetrix от компании, установленная на сервере. Она использует WebSockets для сканирования компьютера на наличие определённых открытых портов на адресе 127.0.0.1 (localhost).

Ниже перечислены порты и связанные с ними программы удалённого доступа, которые проверяет ThreatMetrix, а также их коды при сканировании.

Программа Код Порт
Unknown REF 63333
VNC VNC 5900
VNC VNC 5901
VNC VNC 5902
VNC VNC 5903
Remote Desktop Protocol RDP 3389
Aeroadmin ARO 5950
Ammyy Admin AMY 5931
TeamViewer TV0 5939
TeamViewer TV1 6039
TeamViewer TV2 5944
TeamViewer TV2 6040
Anyplace Control APC 5279
AnyDesk ANY 7070

После скандала со сканированием портов также выяснилось, что uBlock Origin и другие блокировщики рекламы под Chrome не блокируют сканирование портов с тестируемых сайтов. Но буквально в течение нескольких дней ситуация изменилась — и uBlock Origin начал блокировать сканы.

«Я ничего не менял в коде программы по этому конкретному поводу, — прокомментировал Раймонд Хилл (Raymond Hill), разработчик uBlock Origin. — Так что вполне возможно, что соответствующие записи были добавлены в списки фильтров или сами сайты решили раскрыть сервер ThreatMetrix».

Встроенный логгер uBlock Origin позволяет найти правила, которые блокируют скрипт сканирования портов. С его помощью можно установить, что скрипт сканирования src.ebay-us.com/fp/check.js блокируется списком фильтров EasyPrivacy.


Логгер uBlock Origin

История коммитов EasyPrivacy показывает, что соответствующее правило для ebay.com было добавлено в мастер 9 дней назад.

Сканирование с других сайтов предотвращается с помощью правила блокировки фрагмента /fp/tags.js?, который всегда присутствует в строке вызова скрипта.



Теперь список EasyPrivacy успешно блокирует скан портов у посетителей eBay, Ameriprise, Citi, TD Bank, Lendup, BeachBody, Equifax IQ Connect и Sky. Однако порты по-прежнему прощупываются у пользователей, которые заходят на TIAA.org, Chick-Fil-A, Gumtree и WePay.

См. также:

Теги:EasyPrivacyuBlock Originскан портов
Хабы: Информационная безопасность Расширения для браузеров Браузеры
Всего голосов 16: ↑15 и ↓1+14
Просмотры4.9K

Похожие публикации

Лучшие публикации за сутки