迅雷存在安全隐患？想看看大家的意见

awsl10000次

原标题“迅雷存在大量安全漏洞”
文章原链接为 https://palant.info/2024/03/06/n ... -electron-framework
以下为简单粗略的转载翻译，图片均转载自原作者网站
作者发现迅雷的应用程序暴露了一个巨大的攻击面。迅雷用户正在访问的任意网站在很大程度上都可以利用此攻击面。该攻击面其中一些部分也可以被同一网络中的其他计算机利用，对迅雷用户执行中间人攻击。
作者认为，迅雷应用程序的设计中似乎没有考虑安全问题。大量的内部接口在没有充分保护的情况下暴露出来。一些现有的安全机制被禁用。主体还包含大量第三方代码，这些代码似乎没有收到任何安全更新。
作者向迅雷报告了许多漏洞，其中大部分允许远程执行代码。尽管如此，考虑到攻击面的大小，作者觉得自己碰触到的危险只是冰山一角。

以下为作者列举的详细问题
迅雷内置的未命名 Web 浏览器基于 Chromium 83.0.4103.106。这个浏览器版本于 2020 年 5 月发布，不仅无法享受到最新的安全更新，而且可以明确被CVE-2021-38003 利用
内置浏览器没有阻止弹出窗口的功能，这使得任何网站都可以打开任意数量的标签
内置浏览器没有禁止Flash Player，不仅如此，这个Flash Player也不是adobe公司发布的“最新”款
内置浏览器允许所有网页的调用，调用将被转发到迅雷主应用程序，任何插件都可以在本机注册。

作者认为危险并不会随着不使用迅雷浏览网页停止
网页可以通过调用迅雷浏览器扩展程序，绕过用户交互的情况下传递链接，并在迅雷中打开网页，进而实现攻击。
后面作者列举了更多由迅雷使用的落后框架已经出现过的大量攻击办法
插件缺乏tls加密
还有大量太过于过时的组件，比如xmp（迅雷播放器）基于Electron 59.0.3071.115（2017 年 6 月发布）
文章的最后作者抱怨了困难的上报过程和有些简略的回复
似乎迅雷已经修复了部分漏洞，但仍然有很多没有修复。
最后作者的总结为
“总而言之，你最好不要在不受信任的网络上运行迅雷（作者加注：处于同一网络上的任何人或可以将自己插入您和迅雷更新服务器之间的任何人都能够操纵服务器响应，使用应用程序安装恶意插件，而您甚至不会注意到任何事情。）
您最好不要在与其他人共享的计算机上运行迅雷。共享计算机上的任何人都可以向迅雷应用程序添加恶意组件，因此下次运行它时，您的用户帐户将受到威胁。”
以上为对作者原文的翻译，不包括我的观点
想知道大家关于此的看法，是否是真的？如果是的话，迅雷应该加油了...

Frank404

蓝点网发过了：https://www.landiannews.com/archives/102815.html
早就不用这东西了，替代品一大堆
财报还是盈利的：https://www.landiannews.com/archives/102830.html
纯粹就是屎山代码懒得修，反正不缺会员用户

ddxuchen

迅雷不仅仅是漏洞不修，它还有一个被曝光的后门，知乎上有大佬的分析​​​
https://www.zhihu.com/question/648486686/answer/3430420535

hf1986110

用者不怕，怕者不用  反正我不用

305337030

额，我用着呢

gid

直接沙盒运行和谐版