上eBay购物的人们要小心了,安全研究人员发现,eBay网站会对上门的访客在未告知情况下,以程序扫描计算机的远程访问传输端口。
传输端口扫描是渗透测试人员和黑客常见行为,他们以工具扫描连向互联网的机器,以了解机器是否有应用或服务听取网络,通常结果是攻击行动。但反过来说,若一个网站扫描访客计算机传输端口,往往是为了获知计算机上跑什么软件,例如游戏平台Steam使用port 27036,因此如果这个传输端口打开,大概就可推测估计用户上网时同时在玩Steam。
安全研究人员Charles Belmer利用一套市售侦测传输端口扫描行为的软件,在eBay进行测试,结果发现有14个传输端口成为扫描目标。其中包括5900~5903 VNC (Virtual Network Computing) port、3389 Windows Remote Desktop (RDP)、5931 Ammy Admin Remote Desktop、5950 WinWNC等,许多都是作为远程访问或远程支持连接之用。
研究人员发现,eBay网站上一支脚本程序尝试对这些传输端口创建WebSocket连接,这可让网站发送信息给用户端浏览器,但不需用户动作。他研判eBay通过该脚本程序以了解用户本机网络上跑些什么程序,但这个过程只在Windows PC上发生,并不扫描Linux计算机。
另一研究人员Jack Rhysider也发现eBay网站绕过防火墙,对其笔记本进行传输端口扫描。
eBay扫描用户计算机目的可能是为了发送广告、识别浏览器指纹或欺诈侦测,但Bleeping Computer指出,eBay作为一个电商网站,最有可能是想检查用户计算机是否被黑而在eBay上欺诈购买,而不是太邪恶的事。eBay随后也发布了行礼如仪的声明,表示他们视客户隐私和安全为第一要务,致力创造安全及可信赖的网站和服务。
但Belmer指出,不管eBay的目的为何,扫描传输端口相当危险,也可能落入歹徒之手带来不良后果。他建议消费者安装能封锁扫描传输端口的插件。此外,Tor及Opera也会默认封锁此类扫描行为。