lunedì 25 maggio 2020

eBay analizza i computer dei visitatori in cerca di porte aperte per programmi di accesso remoto


La notizia ha dell'incredibile e serpeggia nel web da qualche giorno. Prima un report specifico, poi i test dei tecnici della testata online BleepingComputer quindi la conferma: eBay, in tutti i propri domini, esegue una verifica sul computer di ogni utente alla prima visita in cerca di porte aperte per individuare applicazioni di accesso remoto o di supporto remoto. Un "port scanning" come spesso ne effettuano i cyber attaccanti in cerca di porte aperte da sfruttare per accedere alle macchine egli utenti. 

La versione integrale del report pubblicato dai tecnici di Nullsweep e disponibile qui, conferma inequivocabilmente il port scanning effettuato da eBay. 

Il port scanning: come funziona la verifica di eBay
Questa scansione cerca porte aperte dal lato client e verifica la presenza dei più diffusi software per l'amministrazione remota dei sistemi Windows. Un software di questo tipo, se installato ed eseguito, apre una o anche più porte in ingresso sulla macchina, per gestire le richieste di connessione da parte di terzi.

La scansione avviene tramite codice JavaScript rinominato check.js (consultabile qui per gli appassionati), la cui presenza è stata confermata anche nella versione italiana del sito: verifica in dettaglio, quali porte sul sistema, associabili alla presenza di programmi di accesso remoto, sono aperte. Il controllo viene effettuato direttamente in locale sull'IP 127.0.0.1 tramite lo script caricato dal browser: un sistema che consente di superare eventuali firewall. I software di accesso remoto che vengono cercati da Ebay sono Windows Remote Desktop, VNC, TeamViewer, Ammy Admin, AnyDesk e altri... mentre sono ben 14 le porte sulle quali ebay esegue questo tipo di verifica. 

Alla ricerca delle porte aperte e delle app in esecuzione

In particolare vengono verificate le seguenti porte: 5900, 5901, 5902, 5903 (VNC), 3389 (Windows Remote Desktop), 5950 (Aeroadmin), 5931 (Ammyy), 5939, 6039, 5944, 6040 (TeamViewer), 5279 (Anyplace Control), 7070 (AnyDesk) e 63333.

Sull'IP vengono inviate vere e proprie richieste di connessione: se il JavaScript riceve una risposta significa che l'app per la gestione da remoto è in esecuzione. Sembrano essere al riparo soltanto gli utenti Linux: i ricercatori di Nullsweep, tra i primi a diffondere la notizia, hanno verificato che l'attività di port scanning non si avvia su terminali Linux. 

La madre di tutte le domande: perchè?
E' ovvio è naturale chiedersi perchè eBay stia procedendo ad analisi di questo tipo. Non c'è, fino ad ora, una posizione ufficiale e anche la redazione di BleepingComputer fa sapere di avere tentato un contattato, ma di non aver ricevuto alcuna risposta per adesso. 

Si può solo supporre quindi: una delle prime possibilità è che questa verifica sia una forma di difesa. eBay infatti potrebbe eseguire il port scanning per individuare quei client compromessi che sono usati spesso per effettuare acquisti fraudolenti. Ed è assolutamente una possibilità credibile: nel 2016 furono pubblicati centinaia di report che denunciavano il problema dell'uso di computer controllati tramite TeamViewer per effettuare acquisti fraudolenti su Ebay. Gli attaccanti sfruttavano il fatto che moltissimi utenti usano i cookie per accedere automaticamente al sito, quindi da remoto gli attaccanti sono riusciti ad accedere ad Ebay ed effettuare acquisti.

Insomma il problema è reale, ma è innegabile che questa tipologia di verifica, anche se eseguita a scopo difensivo, sia estremamente invadente per gli utenti e, probabilmente, pochissimi di questi accetterebbero di buon grado un port scanning, qualora ne fossero stati informati. Restiamo in attesa di una posizione ufficiale da parte di eBay. 


Nessun commento:

Posta un commento