Специалистите на популярния уеб портал Null Sweep през месец май тази година забелязаха странна мрежова активност от страна на сайта eBay. Сега се потвърди, че с помощта на специален скрипт се извършва сканиране на локалните мрежови портове на потребителските компютри.
Това лесно може да се провери с помощта на средствата за разработчици вградени във всеки браузър. Така например, в Google Chrome, конзолата се отваря с натискането на клавиша F12. Оттам трябва да се премине в раздела Network и да се проследят запитванията при посещение сайта на eBay.
В списъка на мрежовите връзки може да бъде намерен localhost (127.0.0.1) – именно това е сканирането, извършвано от eBay. Тук може да бъде намерена маса допълнителна информация, като ясно се вижда, че се използва скрипта check.js. Сканират се четиринадесет различни порта, като запитването изглежда например като 127.0.0.1:5900 за порт 5900. Сканирането се извършва независимо дали потребителят се е и ли не се е логнал в сайта.
Ето кои портове сканира eBay:
•5900: VNC;
•5901: VNC port 2;
•5902: VNC port 3;
•5903: VNC port 4;
•5279: Anyplace Control;
•3389: Windows remote desktop / RDP (Remote Desktop Protocol);
•5931: Ammy Admin remote desktop (Ammyy Admin);
•5939: TeamViewer;
•5944: TeamViewer;
•5950: WinVNC (Aeroadmin);
•6039: TeamViewer;
•6040: TeamViewer;
•63333: TrippLite power alert UPS;
•7070: AnyDesk.
Виждаме, че повечето от тези портове са на приложения за отдалечен достъп до десктопа, каквито са VNC, TeamViewer и Windows Remote Desktop.
Друг интересен момент е, че това сканиране не се извършва при компютрите с Linux.
Мотивите на eBay са неясни, като компанията каза само, че най-стриктно се грижи за безопасността на потребителите.
Предлагат се различни варианти за защита от това сканиране. Единият е да се блокира скрипта check.js с някое от многобройните приложения с подобна функционалност. Другият е да се изключат WebSockets, но това може да доведе до проблеми с някои сайтове.
Истината