eBay-Seite macht beim Besuch einen Port-Scan

[English]Wie es ausschaut, führt eBay einen Port-Scan auf den Clients seiner Besucher aus, sobald diese im Browser die Webseite ebay.com abrufen.


Anzeige

Das Thema poppt seit einigen Stunden auf Twitter von verschiedenen Leuten auf. Hier eine Meldung von einem Nutzer.

In Folgetweets werden weiteres Details offen gelegt. Jack Rhysider ist das ebenfalls im Edge-Browser aufgefallen, wie er in nachfolgendem Tweet ausführt.

Obwohl er eine Firewall benutzt, wird lokal im Browser ein PortScan durchgeführt und das Ergebnis an eBay übertragen. Findet er nicht lustig. Rhysider  diskutiert den Fall weiter auf Twitter. Eine richtige Erklärung für diesen Sachverhalt hat eigentlich keiner.

Bleeping Computer hat das Ganze aufgegriffen und in dem in obigem Tweet verlinkten Artikel veröffentlicht.


Anzeige

Es wird vermutet, dass kompromittierte Rechner über diesen Scan aufgespürt werden sollen. Details lassen sich im verlinkten Bleeping Computer-Beitrag nachlesen. Ergänzung: Es gibt noch einen englischsprachigen Blog-Beitrag zum Thema. Und es scheint, als ob die Kollegen bei heise den obigen Beitrag zum Anlass genommen haben, das Thema hier aufzubereiten.


Anzeige


Dieser Beitrag wurde unter Internet abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu eBay-Seite macht beim Besuch einen Port-Scan


  1. Anzeige
  2. dimothois sagt:

    und warum?
    weils geht! beschwerde und/oder mecker läuft da eig. meist ins leere. Weil: es geht halt mit den scans – was eig. ein NoGo sein müsste.
    ebay.de blocked seit einiger Zeit übrigens gern nichtdeutsche IPs bei login – wenn zB ein VPN verwendet wird/werden muss, weil zB. in unsicheren wlans gesurft wird. Oder man im Nachbarland ebay.de aufruft + login. Dann sofort temp. account-Sperre, aus “Sicherheitsgründen”. Nervig. Etwas umgehbar mit einem Kto bei eBay.com. Oder bei vpn + ebay.de nur dt. IP.
    Panneladen – auch wenn die sich gg zB. viel Spam wehren müssen.

    • Paul sagt:

      Es kann doch auch sein, dass über die VPN besonders gerne “Angriffe” gg. eBay.de gefahren werden, oder?

      Google(Android) schickt in diesem Fall eine eMail an den (ehemaligen..) Account Besitzer.

      • herwyl sagt:

        ohje, nichma 5 Zeilen können noch gelesen werden, nur noch 1 1/2? Steht doch bereits da, “auch wenn die sich gg zB. viel Spam wehren müssen”.
        was könnte das wohl bedeuten? gröbelgröbel…
        :-P

        Nur: es bedeutet ganz bestimmt nicht, auf den Rechnern der Kunden zu schnüffeln.

  3. 1ST1 sagt:

    Interssant wird es, wenn neben dem internen Portscan gleichzeitig auch noch ein Portscan auf die öffentliche IP des ebay-Besuchers gemacht wird, und beide Ergebnisse zusammen gefasst werden. Dann hat eBay nämlich tatsächlich einen Hinweis darauf, ob der PC von Außen fremdgesteuert werden kann. Damit könnte man den Benutzer warnen.

  4. Anzeige

  5. Ärgere das Böse! sagt:

    Wie kommt man an der firewall vorbei?
    Firewall für nix?

    • Martin Feuerstein sagt:

      Auf deinem Computer wird die Seite angezeigt und Javascript ausgeführt. Der Javascript läuft lokal, so können dann vom eigenen PC dank Websockets weitere Verbindungen aufgebaut werden.
      So können Webseiten z. B. auch Geräte ansprechen wie etwa RFID-Leser.

      • Oliver L. sagt:

        Genau. Und das ist auch sicherer so. Früher brauchte man z. B. für die AusweisApp immer Plugins für diverse Browser – bei Firefox war der meist schon bei Veröffentlichung veraltet und funktionierte nicht (naja, fast). Heutzutage läuft auf localhost ein Dienst innerhalb der (z. B. temporär dazu gestarteten) App wie AusweisApp, die dann jeder Browser einfach ansprechen kann, z. B. per REST. Eigentlich eine sehr gute und sichere Sache.
        Es wäre wohl besser, wenn der Browser solche Zugriffe erkennen und fragen würde, so wie er das ja bei Mikrofon-, Kamera- und Standortabfragen schon tut. Da muss ich doch mal glatt gleich zum Testen ebay.de aufsuchen und schauen, was meine Systeme hier so dazu sagen :-). Danke allerseits für den Hinweis!

        • Martin Feuerstein sagt:

          Wenn eine beliebige Webseite meinen Computer dazu bringt, Anfragen ins (lokale) Netzwerk zu schicken fühle ich mich nicht besonders sicher. Da würde ich doch gerne gefragt werden. Parallel dazu gibt es auch noch Treiber, die ohne Zwang einen lokalen Webserver öffnen, z. B. der von Logitech, womit sich Tastatur- und Mauseingaben abgreifen lassen *könnten* (das mit den RFID-Lesern ist immerhin noch bewusst so installiert, z. B. in Bibliotheken). Logitech-Treiber + ebay-Webseite = Totalabsturz.

          Edit: Das mit dem Logitech-Treiber dürfte schon gegessen sein, dazu hatte Golem mal einen Artikel.

          • Oliver L. sagt:

            Genau, habe ich ja auch geschrieben, dass ich das auch gut fände, wenn Zugriffe auf 127.0.0.1 bzw. überhaupt das Intranet (10.x.y.z, 192,168.x.y, …) ohne Rückfrage/Zustimmung nicht möglich wären.
            Ich finde den Portscan auch nur in Firefox und nicht in Edge (mit F12, Chromium-Version). Entweder protokolliert der ihn nicht oder blockiert ihn. Na, mal abwarten, was über das Thema noch so geschrieben wird demnächst. Bin gespannt.

          • Martin Feuerstein sagt:

            Den Portscan konnte ich nur in Chrome-Edge feststellen, in Firefox aber nicht (selbst mit deaktiviertem uBlock)

  6. PC-Hilfe B. sagt:

    Was passiert beim “Browser in the BOX”? Geht da der Portscan durch

  7. Paul sagt:

    An 127.0.0.1 kommt doch nur jemand der auf der Kiste ist.
    Warum sollte der sich die Mühe machen über die Fernwatungs zugehen?
    Weil die mehr lokale Rechte hat als der Browser?

    Könnte sein, dass es böse Websites gibt, die (über Lücken in der Fernbedienungssoftware) per JS Böses tun?
    (Privileg excalation?)

    Dann wäre es doch sinnvoller den Kunden zu warnen und
    auf z.B. uBlock hinzuweisen, mit dem man Zugriffe auf 127.* unterbinden kann,
    wie auch auf alle IPs im LAN und auch auf “http:Fritzbox”

    M.W. muß die Fernwartungs Software wie VNC “installiert” werden.
    Welcher normale User hat den VNC-Server installiert?

  8. Sven Fischer sagt:

    Aber auch nur, wenn man als Unterbau Windows hat. Wie schon in dem oben verlinkten Artikel zu lesen ist, hat der Verfasser in einer Linux Distro eine VM mit Windows aufgesetzt. Darin dann, den selben Vorgang beobachtet, als wie bei einer normalen Installation auf Blech.
    Daher ist Windows ist da als eigentliches Problem zu sehen.
    Bei golem.de hats gestern auch einen Artikel dazu gegeben.

  9. Anzeige

  10. NoOne sagt:

    Wenn man im selben Tab eine andere Url aufruft, geht ebenfalls ein web-request an https://pulsar.ebay.com/plsr/mpe

    Es ist so stark “verschleiert” (obfuscated), dass ich es nicht prüfen konnte.

    In einem Versuch wurde an die selbe Url auch aus einem neuen Tab gesendet.

    (FireFox, aktuelle Version)

  11. Tobias sagt:

    Mit uBlock Origin lässt sich der lokale Zugriff und damit der Portscan von eBay sehr einfach unterbinden. Dazu reichen die folgenden Regeln:
    ||localhost^$important,third-party
    ||127.0.*^$important,third-party
    ||[::1]^$important,third-party

    Mehr Infos: https://scheible.it/lokale-verbindung-im-webbrowser-blockieren/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.