27/05/20
При посещении сайта eBay.com запускается скрипт, который выполняет сканирование локальных портов компьютера пользователя на предмет приложений для удаленного доступа. По словам специалистов издания Bleeping Computer, сайт eBay действительно осуществляет скрытое сканирование с помощью скрипта check.js, запускающегося при каждом посещении ресурса.
Скрипт check.js, используя WebSocket для подключения к 127.0.0.1 через заданный порт, сканирует 14 портов на ПК. Многие из данных портов связаны с инструментами для удаленного доступа, такими как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и другими.
По словам специалистов портала Nullsweep, которые впервые сообщили о сканировании портов, скрипт не срабатывает при просмотре сайта с ПК под управлением Linux и затрагивает только пользователей Windows.
Как предположил создатель исследовательского подкаста Darknet Diaries Джек Рисайдер (Jack Rhysider), сканирование портов осуществляется с целью доставки рекламы, отслеживание цифрового отпечатка браузера или защиты от мошенников. Поскольку сканирование проходит в браузере, межсетевые экраны пользователя не могут предотвратить данный процесс.
eBay также шифрует результаты сканирования и передает их на свои серверы в GET-запросе к png. Пользователь под псевдонимом Nemec опубликовал на gist.github.com скрипт для расшифровки данных.
Представители eBay отказались комментировать данную ситуацию, однако сообщили, что «конфиденциальность и сохранение данных клиентов остаются их первоочередной задачей, поэтому они стремятся создать на своем сайте для этого удобную и надежную систему».
