Ebay begrüßt einige Nutzer mit heimlichem Portscan

Beim Aufruf von ebay.de oder ebay.com untersucht JavaScript-Code Systeme lokal auf bestimmte offene Ports. Dahinter steckt ein Fingerprinting-Skript.

by

Windows-Nutzer, die die Auktionsplattform Ebay (sowohl ".com" als auch ".de") ansurfen, werden derzeit mitunter auf sehr ungewöhnliche Weise willkommen geheißen: In die Website eingebetteter JavaScript-Code testet ihre Windows-Systeme im Hintergrund auf bestimmte offene Ports. Den meisten Besuchern dürfte dies bislang nicht aufgefallen sein, da sich auf der Ebay-Website keinerlei Hinweis, geschweige denn eine Erklärung zu diesem Vorgang findet.

Auf den betreffenden Code, ein stark obfuskiertes Skript namens check.js, hatte ein Sicherheitsforscher bereits vergangene Woche erstmals in einem Blogeintrag hingewiesen. Das Skript verwendet das Netzwerkprotokoll WebSockets für Abfragen im Format wss://127.0.0.1:3389/.

heise Security konnte den Scanvorgang auf Windows-Systemen am heutigen Montag in Chrome, Firefox, im Internet Explorer 11 sowie im Chromium-basierten Edge-Browser nachvollziehen, wobei die Durchführung teils davon abzuhängen schien, ob die Seite im selben Browser bereits zuvor aufgerufen wurde. Ähnliche Beobachtungen sind auch diversen Diskussionsforen zu entnehmen. Wie auch schon vom Sicherheitsforscher beobachtet, fand der Scan unter Linux nicht statt.

https://www.heise.de/imgs/18/2/8/9/9/8/0/7/Screenshot__236_-678dafededce26a3.png
Portscan auf ebay.de im Chromium-Edge (25.05.20, 16:06 Uhr).(Bild: Screenshot)

Versteckter Betrugsschutz?

check.js scannt 14 Ports des jeweiligen lokalen Rechners, die in einem Artikel auf der Tech-News-Website Bleeping Computer (mit Ausnahme des Ports 63333) den Programmen beziehungsweise Diensten Aeroadmin (5950), Ammyy Admin (5931), AnyDesk (7070), Anyplace Control (5279), RDP (3389), Teamviewer (5939, 6039, 5944, 6040), VNC (5900, 5901, 5902, 5903) zugeordnet werden konnten.

Die Zuordnung zu Tools für den Fernzugriff legt die Vermutung nahe, dass der Portscan Teil eines Schutzmechanismus sein könnte, um Rechner zu identifizieren, die etwa für Betrugsversuche den Missbrauch fremder Konten gekapert wurden. Eine Erklärung von Ebay steht bislang aus. Die deutsche Pressestelle des Unternehmens gab gegenüber heise Security an, die Anfrage am heutigen Montag an die Kollegen in den USA weitergeleitet zu haben; allerdings könne sich deren Antwort angesichts des heutigen Feiertags (Memorial Day) verzögern. (Update 26.05.: Mittlerweile sind die Hintergründe klar; wir haben Sie im letzten Abschnitt dieser Meldung erläutert. ebays Antwort steht allerdings weiterhin aus.)

https://www.heise.de/imgs/18/2/8/9/9/8/0/7/Screenshot__233_-ae7c7b8704e4edeb.png
(Bild: Auszug aus dem Skript check.js, das dauerhaft via web.archive.org abrufbar ist.)

Nicht strafbar, aber auch nicht nett

Nach Einschätzung der Heise-Rechtsabteilung sind die Voraussetzungen zur Strafbarkeit nach § 202a StGB ("Ausspähen von Daten") oder auch § 303b StGB ("Computersabotage") im vorliegenden Fall – zumindest im Hinblick auf den bloßen Portscan – nicht gegeben. Auch datenschutzrechtlich sei das Portscanning, anders als etwa die Erhebung und Verarbeitung von IP-Adressen, nicht problematisch. Dennoch dürften viele Betreiber von Netzen und PCs einen solchen Scan – noch dazu ohne jeglichen schriftlichen Hinweis auf der Auktionsplattform – zumindest als "unfreundlichen Akt" empfinden.

Wenn es eindeutig darum geht, die Besucher der Website besser zu schützen, könne man aber durchaus argumentieren, dass dies hinnehmbar sei, meint Jürgen Schmidt, Leiter von heise Security und Senior Fellow Security bei Heise. "Spannend wäre es jedoch, zu wissen, was (das Skript) macht, wenn es tatsächlich einen offenen Port findet. Denn ein solcher ist ja keineswegs ein Beweis dafür, dass der Rechner kompromittiert ist, sondern bestenfalls ein Hinweis, dass an dieser Stelle weitere Nachforschungen sinnvoll wären." Genau an dieser Stelle – dann nämlich, wenn diese Nachforschungen völlig ungefragt von Dritten durchgeführt würden –, würde es kritisch in Bezug auf Security und Datenschutz. Auch die Frage nach der Strafbarkeit müsste dann neu gestellt werden.

Des Rätsels Lösung: Ein "ThreatMetrix"-Skript

Im Forum wies ein Leser darauf hin, dass ein Skript check.js mit identischer Pfadangabe ("/fp/check.js?org_id=") in ähnlicher Form auch auf Websites anderer Unternehmen eingebunden ist. Abgerufen wird es meist von der Domain h.online-metrix.net. Dahinter steckt der Device-Fingerprinting-Service ThreatMetrix. Die Portscanning-Aktivitäten dieses Sicherheitsmechanismus gegen RATs, Bot- und Man-In-The-Browser-Angriffe, der laut seinen Entwicklern auf Websites vieler Unternehmen zum Einsatz kommt, zog offenbar schon früher die Aufmerksamkeit und die Missbilligung von Sicherheitsforschern und Nutzern auf sich.

Vergleicht man eine der (je nach "org_id" immer unterschiedlich obfuskierten) Skriptvarianten von ThreatMatrix mit dem Skript auf den ebay-Servern, so fällt auf, dass ebays Portscanning-Code (Abkürzungen und zugeordnete Ports) im Originalcode offenbar nicht immer (und vor allem nicht unbedingt im Klartext) vorhanden ist.

Update 25.05.20 / 26.05.20, 18:45 / 12:30: Kleinere Textänderungen gemäß Leseranmerkungen; Ergänzung des Textabschnitts zu ThreatMetrix. Vielen Dank für die Hinweise! (ovw)