eBay Webサイトがwss：// localhost：xxxxxに接続しようとしています-これは合法ですか、それともマルウェアJSが実行されていますか？

Question

企業ユーザーがeBayにログオンするのを支援する際、ログインページでFirefox JSコンソールにwss://localhostに接続できないことに関する一連のエラーが発生していることに気付きました。これは明らかに心配です。 Webサイトがローカルで実行されているWebサーバーに接続する必要があるのはなぜですか。

さらに調べたところ、このリクエストは次のURLのcheck.jsからのものであることがわかりました。

https://src.ebay-us.com/fp/check.js?org_id=usllpic0&session_id=586308251720aad9263fb1e7fffd737

これはeBayに挿入された悪意のあるスクリプトですか、それとも正当な理由がありますか？誰か知ってる？

Pedro · Accepted Answer

これは、websocketを介してローカルポートスキャンを実行するebayです。最近報告されました：

https://Twitter.com/JackRhysider/status/1264415919691841536 （独自の調査）
https://www.bleepingcomputer.com/news/security/ebay-port-scans-visitors-computers-for-remote-access-programs/ （ブリーピングコンピューターの記事）

悪意があるとは思いませんが、悪い習慣であり、卑劣でユーザーの信頼を損ないます。彼らはあなたがあなた自身のコンピュータへの調査を可能にするあらゆる種類のT＆Cを受け入れる前にそれをします。

同様の戦術は、銀行によって多かれ少なかれオープンな方法で使用されます（状況はさまざまです）。

Joseph Montanaro · Answer

最近、これについていくつかの議論がありました。ここおよびここ。

ポートスキャンの推奨される理由には、a）将来の参照のためにマシンを一意に識別するためのフィンガープリント、またはb）ボットネットがボットを制御するためにさまざまな標準ポートでVNCサービスを使用することが多いため、ボットネットの一部であるかどうかを判断しようとすることが含まれます。

Martin Rosenau · Answer

ドイツのコンピュータ雑誌が先週この観察について書いていて、eBayに声明を求めました。

eBayの答えは：

マルウェアまたは正規のソフトウェアのいずれかで広く普及しているソフトウェアがあり、eBayパスワードを盗むために誤用される可能性があります。このソフトウェアは特定のTCPポートでリッスンしています。

これらのTCP=ポートへの接続を確立しようとすることにより、（のJavaScript）eBay Webサイトは、そのようなソフトウェアが現在実行されているかどうかを確認しようとします。