image

UBlock Origin blokkeert voortaan ook poortscans door websites

maandag 8 juni 2020, 13:51 door Redactie, 5 reacties

De populaire adblocker uBlock Origin blokkeert voortaan ook poortscans die door websites lokaal bij gebruikers worden uitgevoerd. Vorige maand kwam Charlie Belmer, die bij zoekmachine DuckDuckGo aan de privacy en security werkt, met een analyse over een poortscan die eBay op het systeem van bezoekers uitvoert. In tegenstelling tot poortscans die vanaf het internet worden uitgevoerd, wordt de poortscan van eBay vanuit de browser geïnitieerd en scant alleen het lokale ip-adres van de gebruiker.

Het bedrijf blijkt informatie te verzamelen over openstaande poorten die onder andere worden gebruikt voor VNC, RDP, TeamViewer, AnyDesk en Ammy Admin. Via deze diensten is het mogelijk om systemen op afstand te besturen. Mogelijk dat eBay op deze manier wil controleren of systemen van gebruikers zijn besmet of onderdeel van een botnet zijn, en zo op frauduleuze manier gebruikt kunnen worden. Uit informatie van Dan Nemec blijkt echter dat de aanwezigheid van een dergelijke open poort er niet voor zorgt dat eBay bijvoorbeeld een "fraudescore" ontvangt.

EBay is niet de enige partij die lokaal de poorten van gebruikers scant. Wereldwijd zou het om 30.000 websites gaan, die hiervoor gebruikmaken van LexisNexis' ThreatMetrix. Het bedrijf analyseert naar eigen zeggen dagelijks 150 miljoen transacties voor meer dan 30.000 websites wereldwijd om verdacht gedrag en malware te detecteren. Op de vraag waarom het de poort van gebruikers scant laat eBay tegenover zakenblad Forbes weten dat het dit doet om een veilige omgeving te creëren. Verdere informatie wordt niet gegeven.

Gebruikers die niet willen dat websites een lokale poortscan uitvoeren kunnen hiervoor adblocker uBlock Origin installeren. In ieder geval de versie voor Google Chrome blijkt poortscans te blokkeren. UBlock-ontwikkelaar Raymond Hill laat aan Bleeping Computer weten dat hij geen aanpassingen aan de browserextensie heeft doorgevoerd, en dat het waarschijnlijk om aanpassingen aan de filterlijsten gaat waarvan de adblocker gebruikmaakt. Deze filterlijsten worden door andere partijen onderhouden om trackers en andere zaken te blokkeren. Uit reacties op de GitHub-pagina van uBlock Origin blijkt dat inderdaad is voorgesteld om poortscans via de filterlijsten te blokkeren.

Reacties (5)
08-06-2020, 15:40 door Anoniem
Ik snap niet dat een browser dit uberhaupt toestaat. Wellicht wordt het tijd dat javascript in de ban gaat.
08-06-2020, 15:59 door Anoniem
Ik denk eerder dat dit gedaan wordt om te zien of de computer zelf een RDP server zou kunnen zijn, welke veel gebruikt worden om gehackte accounts te gebruiken. Vooral als er met een IP adres vanuit een ander land ingelogd wordt. Als dat via een server gebeurd kan dit wel zeker frauduleus zijn. Een check welke ze nu dus kwijt zijn omdat hackers uBlock Origin gaan gebruiken.

Als eenders van de gecheckte software op een eindgebruikers PC gevonden wordt vindt ik dat niet direct iets frauduleus mogelijk zijnde.
08-06-2020, 17:05 door Anoniem
Door Anoniem: Ik denk eerder dat dit gedaan wordt om te zien of de computer zelf een RDP server zou kunnen zijn, welke veel gebruikt worden om gehackte accounts te gebruiken. Vooral als er met een IP adres vanuit een ander land ingelogd wordt. Als dat via een server gebeurd kan dit wel zeker frauduleus zijn. Een check welke ze nu dus kwijt zijn omdat hackers uBlock Origin gaan gebruiken.

Je begrijpt het niet goed denk ik. Poortscanning is sowieso not done voor whitehats. uBlock Origin kan al heel lang websockets blokkeren (*$websocket), en dat kunnen veel andere privacytools ook.

Veel bedrijven gebruiken proxies voor webtoegang en daar kan RDP openstaan, de aanwezigheid van die poort zegt dus niets. Net zo goed als een poort van een van de andere remote access tools.

Als eenders van de gecheckte software op een eindgebruikers PC gevonden wordt vindt ik dat niet direct iets frauduleus mogelijk zijnde.

Je hebt een apart taalgebruik, maar ik denk dat je hetzelfde wil zeggen als ik hierboven schreef.
09-06-2020, 10:38 door Anoniem
Nice, kunnen we terug ebay gebruiken :P
10-06-2020, 14:23 door Anoniem
Door Anoniem: Ik snap niet dat een browser dit uberhaupt toestaat. Wellicht wordt het tijd dat javascript in de ban gaat.

Mozilla is toch al erg lang een 'buitenlandse spion' ten behoeve van 'het kapitaal'
Wordt tijd dat er weer eens een revolutie komt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.