[English]Wie es ausschaut, führt eBay einen Port-Scan auf den Clients seiner Besucher aus, sobald diese im Browser die Webseite ebay.com abrufen.
Anzeige
Das Thema poppt seit einigen Stunden auf Twitter von verschiedenen Leuten auf. Hier eine Meldung von einem Nutzer.
Yep. eBay "scans" your computer using browser websockets after you login, looking for specific ports.
I see ports typically used by RDP, VNC, remote access/control. 14 were probed.They'll probably say it's for *my* safety.
Not cool, eBay. Not cool. pic.twitter.com/BJQlxmkqbS— B:\a.zza (@mcbazza) May 24, 2020
In Folgetweets werden weiteres Details offen gelegt. Jack Rhysider ist das ebenfalls im Edge-Browser aufgefallen, wie er in nachfolgendem Tweet ausführt.
If this had conducted a full port scan on my internal network and reported the results to eBay, is that illegal? This is not portscanning the internet, it's port scanning my computer, which is behind a firewall in my home. Is that illegal? Probably not but it's at the line.
2/5— Jack Rhysider (@JackRhysider) May 24, 2020
Anzeige
Obwohl er eine Firewall benutzt, wird lokal im Browser ein PortScan durchgeführt und das Ergebnis an eBay übertragen. Findet er nicht lustig. Rhysider diskutiert den Fall weiter auf Twitter. Eine richtige Erklärung für diesen Sachverhalt hat eigentlich keiner.
eBay port scans visitors' computers for remote support tools – @LawrenceAbramshttps://t.co/Lo5q5Vr6Rc
— BleepingComputer (@BleepinComputer) May 24, 2020
Bleeping Computer hat das Ganze aufgegriffen und in dem in obigem Tweet verlinkten Artikel veröffentlicht.
All of these ports are related to remote support/remote access applications that allow you to take over a computer. There was only one port, 63333, that we could not identify. pic.twitter.com/3pRMirgn5P
— BleepingComputer (@BleepinComputer) May 24, 2020
Es wird vermutet, dass kompromittierte Rechner über diesen Scan aufgespürt werden sollen. Details lassen sich im verlinkten Bleeping Computer-Beitrag nachlesen. Ergänzung: Es gibt noch einen englischsprachigen Blog-Beitrag zum Thema. Und es scheint, als ob die Kollegen bei heise den obigen Beitrag zum Anlass genommen haben, das Thema hier aufzubereiten.
Anzeige
und warum?
weils geht! beschwerde und/oder mecker läuft da eig. meist ins leere. Weil: es geht halt mit den scans – was eig. ein NoGo sein müsste.
ebay.de blocked seit einiger Zeit übrigens gern nichtdeutsche IPs bei login – wenn zB ein VPN verwendet wird/werden muss, weil zB. in unsicheren wlans gesurft wird. Oder man im Nachbarland ebay.de aufruft + login. Dann sofort temp. account-Sperre, aus "Sicherheitsgründen". Nervig. Etwas umgehbar mit einem Kto bei eBay.com. Oder bei vpn + ebay.de nur dt. IP.
Panneladen – auch wenn die sich gg zB. viel Spam wehren müssen.
Es kann doch auch sein, dass über die VPN besonders gerne "Angriffe" gg. eBay.de gefahren werden, oder?
Google(Android) schickt in diesem Fall eine eMail an den (ehemaligen..) Account Besitzer.
ohje, nichma 5 Zeilen können noch gelesen werden, nur noch 1 1/2? Steht doch bereits da, "auch wenn die sich gg zB. viel Spam wehren müssen".
was könnte das wohl bedeuten? gröbelgröbel…
:-P
Nur: es bedeutet ganz bestimmt nicht, auf den Rechnern der Kunden zu schnüffeln.
Interssant wird es, wenn neben dem internen Portscan gleichzeitig auch noch ein Portscan auf die öffentliche IP des ebay-Besuchers gemacht wird, und beide Ergebnisse zusammen gefasst werden. Dann hat eBay nämlich tatsächlich einen Hinweis darauf, ob der PC von Außen fremdgesteuert werden kann. Damit könnte man den Benutzer warnen.
Wie kommt man an der firewall vorbei?
Firewall für nix?
Auf deinem Computer wird die Seite angezeigt und Javascript ausgeführt. Der Javascript läuft lokal, so können dann vom eigenen PC dank Websockets weitere Verbindungen aufgebaut werden.
So können Webseiten z. B. auch Geräte ansprechen wie etwa RFID-Leser.
Genau. Und das ist auch sicherer so. Früher brauchte man z. B. für die AusweisApp immer Plugins für diverse Browser – bei Firefox war der meist schon bei Veröffentlichung veraltet und funktionierte nicht (naja, fast). Heutzutage läuft auf localhost ein Dienst innerhalb der (z. B. temporär dazu gestarteten) App wie AusweisApp, die dann jeder Browser einfach ansprechen kann, z. B. per REST. Eigentlich eine sehr gute und sichere Sache.
Es wäre wohl besser, wenn der Browser solche Zugriffe erkennen und fragen würde, so wie er das ja bei Mikrofon-, Kamera- und Standortabfragen schon tut. Da muss ich doch mal glatt gleich zum Testen ebay.de aufsuchen und schauen, was meine Systeme hier so dazu sagen :-). Danke allerseits für den Hinweis!
Wenn eine beliebige Webseite meinen Computer dazu bringt, Anfragen ins (lokale) Netzwerk zu schicken fühle ich mich nicht besonders sicher. Da würde ich doch gerne gefragt werden. Parallel dazu gibt es auch noch Treiber, die ohne Zwang einen lokalen Webserver öffnen, z. B. der von Logitech, womit sich Tastatur- und Mauseingaben abgreifen lassen *könnten* (das mit den RFID-Lesern ist immerhin noch bewusst so installiert, z. B. in Bibliotheken). Logitech-Treiber + ebay-Webseite = Totalabsturz.
Edit: Das mit dem Logitech-Treiber dürfte schon gegessen sein, dazu hatte Golem mal einen Artikel.
Genau, habe ich ja auch geschrieben, dass ich das auch gut fände, wenn Zugriffe auf 127.0.0.1 bzw. überhaupt das Intranet (10.x.y.z, 192,168.x.y, …) ohne Rückfrage/Zustimmung nicht möglich wären.
Ich finde den Portscan auch nur in Firefox und nicht in Edge (mit F12, Chromium-Version). Entweder protokolliert der ihn nicht oder blockiert ihn. Na, mal abwarten, was über das Thema noch so geschrieben wird demnächst. Bin gespannt.
Den Portscan konnte ich nur in Chrome-Edge feststellen, in Firefox aber nicht (selbst mit deaktiviertem uBlock)
Was passiert beim "Browser in the BOX"? Geht da der Portscan durch
An 127.0.0.1 kommt doch nur jemand der auf der Kiste ist.
Warum sollte der sich die Mühe machen über die Fernwatungs zugehen?
Weil die mehr lokale Rechte hat als der Browser?
Könnte sein, dass es böse Websites gibt, die (über Lücken in der Fernbedienungssoftware) per JS Böses tun?
(Privileg excalation?)
Dann wäre es doch sinnvoller den Kunden zu warnen und
auf z.B. uBlock hinzuweisen, mit dem man Zugriffe auf 127.* unterbinden kann,
wie auch auf alle IPs im LAN und auch auf "http:Fritzbox"
M.W. muß die Fernwartungs Software wie VNC "installiert" werden.
Welcher normale User hat den VNC-Server installiert?
Aber auch nur, wenn man als Unterbau Windows hat. Wie schon in dem oben verlinkten Artikel zu lesen ist, hat der Verfasser in einer Linux Distro eine VM mit Windows aufgesetzt. Darin dann, den selben Vorgang beobachtet, als wie bei einer normalen Installation auf Blech.
Daher ist Windows ist da als eigentliches Problem zu sehen.
Bei golem.de hats gestern auch einen Artikel dazu gegeben.
Wenn man im selben Tab eine andere Url aufruft, geht ebenfalls ein web-request an https://pulsar.ebay.com/plsr/mpe
Es ist so stark "verschleiert" (obfuscated), dass ich es nicht prüfen konnte.
In einem Versuch wurde an die selbe Url auch aus einem neuen Tab gesendet.
(FireFox, aktuelle Version)
Mit uBlock Origin lässt sich der lokale Zugriff und damit der Portscan von eBay sehr einfach unterbinden. Dazu reichen die folgenden Regeln:
||localhost^$important,third-party
||127.0.*^$important,third-party
||[::1]^$important,third-party
Mehr Infos: https://scheible.it/lokale-verbindung-im-webbrowser-blockieren/