安全行業(yè)目前的迅雷慣例是研究人員發(fā)現(xiàn)漏洞并通報(bào)給開(kāi)發(fā)商后，開(kāi)發(fā)商有三個(gè)月的被安時(shí)間進(jìn)行修復(fù)，當(dāng)然如果覺(jué)得三個(gè)月時(shí)間不夠，全研還可以與研究人員溝通適當(dāng)延長(zhǎng)漏洞的究人公開(kāi)披露時(shí)間。

日前安全研究人員 Wladimir Palant 在自己的員爆應(yīng)導(dǎo)研究網(wǎng)站上手撕迅雷，指責(zé)迅雷客戶(hù)端存在大量漏洞的錘懈同時(shí)，迅雷對(duì)修復(fù)工作不積極或者說(shuō)不愿意與研究人員溝通，怠回洞被最終結(jié)果是量漏藍(lán)點(diǎn)研究人員在期滿 (90 天) 后公布了這些漏洞。

從研究人員公布的公開(kāi)研究來(lái)看，迅雷客戶(hù)端其實(shí)就是迅雷一個(gè)篩子，上面遍布漏洞，被安因?yàn)檠咐诪榱吮M可能留住用戶(hù)提供了大量功能，全研這些功能都是究人拼湊的。

由于漏洞以及相關(guān)細(xì)節(jié)比較多，員爆應(yīng)導(dǎo)研究這里我們簡(jiǎn)單梳理下，錘懈想要了解所有漏洞及完整細(xì)節(jié)可以在研究人員的博客中查看。

下面是漏洞時(shí)間線：

2023 年 12 月 6 日～12 月 7 日：研究人員通過(guò)迅雷安全響應(yīng)中心提交了 5 個(gè)漏洞報(bào)告，實(shí)際上報(bào)告的漏洞數(shù)量更多，在報(bào)告中研究人員明確提到最終披露時(shí)間是 2024 年 3 月 6 日。

2023 年 12 月 8 日：研究人員收到回信，迅雷安全響應(yīng)中心稱(chēng)已經(jīng)收到報(bào)告，一旦復(fù)現(xiàn)漏洞將與研究人員聯(lián)系 (這應(yīng)該是自動(dòng)回復(fù)的通知模板)。

2024 年 2 月 10 日：研究人員向迅雷提醒稱(chēng)距離漏洞公布只有 1 個(gè)月時(shí)間了，因?yàn)橛行S商會(huì)忘記截止日期，這個(gè)并不少見(jiàn)，于是研究人員發(fā)了提醒。

2024 年 02 月 17 日：迅雷安全響應(yīng)中心稱(chēng)對(duì)漏洞進(jìn)行了驗(yàn)證，但漏洞尚未完全修復(fù)，也就是確認(rèn)了漏洞存在，但由于 shi 山代碼太多，一時(shí)三刻沒(méi)法修復(fù)，為什么說(shuō)是 shi 山代碼看后面的說(shuō)明。

附研究人員關(guān)于迅雷安全響應(yīng)中心的吐槽：限制僅通過(guò) QQ 或微信登錄，這對(duì)于國(guó)外研究人員來(lái)說(shuō)很難，幸好在底部還留了個(gè)郵箱。

安全問(wèn)題一：使用 2020 年 4 月的 Chromium

迅雷客戶(hù)端為了盡可能留住用戶(hù)并塞廣告，直接集成了一個(gè)瀏覽器，這個(gè)使用迅雷的用戶(hù)應(yīng)該都知道，還集成了諸如播放器等功能。

然而迅雷當(dāng)然不會(huì)自己開(kāi)發(fā)瀏覽器，迅雷集成了 Chromium 瀏覽器，這沒(méi)問(wèn)題，但集成的版本還是 2020 年 5 月發(fā)布的 83.0.4103.106 版。

這個(gè)老舊版本存在數(shù)不清的漏洞，漏洞多到令人發(fā)指，畢竟已經(jīng)四年了，有大量漏洞是很正常的，而且有一些高危漏洞，而迅雷至今沒(méi)有更新。

這也是前文提到的 shi 山代碼太多的原因之一，對(duì)迅雷來(lái)說(shuō)或許升級(jí)個(gè) Chromium 版本都是很難的事情，因?yàn)橐幚硪淮蠖岩蕾?lài)。

安全問(wèn)題二：迅雷還集成 2018 年的 Flash Player 插件

所有瀏覽器都在 2020 年 12 月禁用了 Adobe Flash Player 插件，這個(gè)播放器插件也存在巨量漏洞，但迅雷直接忽略了。

迅雷內(nèi)置的 Chromium 瀏覽器還附帶了 Flash Player 29.0.0.140 版，這個(gè)版本是 2018 年 4 月發(fā)布的，迅雷甚至都沒(méi)更新到 Adobe 發(fā)布的最后一個(gè)安全更新。

安全問(wèn)題三：攔截惡意地址簡(jiǎn)直是搞笑

迅雷也用實(shí)際行動(dòng)告訴我們什么是草臺(tái)班子，迅雷內(nèi)置的瀏覽器有攔截惡意地址的功能，包括非法網(wǎng)站和惡意網(wǎng)站等。

但迅雷還特別做了一個(gè)白名單機(jī)制，即域名中的白名單在內(nèi)置瀏覽器中的訪問(wèn)是不受限制的，白名單域名就包括迅雷自己的 xunlei.com

在初始版本中，研究人員提到任意域名結(jié)尾追加？xunlei.com 那就能通過(guò)驗(yàn)證，比如 https:// 惡意網(wǎng)站.com/?xunlei.com，emmm… 是個(gè)大聰明。

在后續(xù)版本中研究人員刪除了上面的說(shuō)法，但保留了另一個(gè)問(wèn)題，那就是 https:// 惡意網(wǎng)站.com./ 可以訪問(wèn)，因?yàn)檠咐谉o(wú)法處理 com.

安全問(wèn)題四：基于老舊的 Electron 框架開(kāi)發(fā)

迅雷主要就是基于 Electron 框架開(kāi)發(fā)的，但迅雷使用的版本是 83.0.4103.122 版，發(fā)布于 2020 年 4 月份，和上面提到 Chromium 老舊版本情況類(lèi)似，也都是篩子，這也是 shi 山代碼之二，迅雷肯定因?yàn)槟撤N原因好幾年了都不敢動(dòng)這些框架版本。

上面只是其中幾個(gè)典型的安全問(wèn)題，研究人員在博客中還羅列了關(guān)于插件、API、過(guò)時(shí)的 SDK 等大量問(wèn)題，內(nèi)容比較多這里不再轉(zhuǎn)述。

迅雷修復(fù)了嗎？

迅雷并沒(méi)有直接忽視研究人員的報(bào)告，事實(shí)上研究人員發(fā)現(xiàn)自己的示例代碼頁(yè)面被訪問(wèn)，說(shuō)明迅雷的工程師也確實(shí)在處理。

同時(shí)研究人員在 2 月份的迅雷新版本中還注意到迅雷刪除了 Adobe Flash Player 集成，但如果用戶(hù)主動(dòng)安裝了，那還是會(huì)被激活。

所以可以斷定迅雷并沒(méi)有直接忽視漏洞，只不過(guò)由于 shi 山代碼太多，一時(shí)三刻解決不了，而迅雷最大的問(wèn)題就是沒(méi)有及時(shí)與研究人員溝通，整整三個(gè)月迅雷除了一個(gè)自動(dòng)回復(fù)外，就在 2 月份回了表示還在修復(fù)的郵件，既沒(méi)有提到是否需要延長(zhǎng)漏洞公開(kāi)時(shí)間、也沒(méi)有與研究人員溝通細(xì)節(jié)。

于是到 3 月 6 日研究人員直接公布了所有漏洞，迅雷好歹也有千萬(wàn)級(jí)的用戶(hù)，無(wú)論是遲遲不更新框架版本還是懈怠處理漏洞，都會(huì)給用戶(hù)造成嚴(yán)重的安全問(wèn)題。

目前迅雷并未徹底解決研究人員提到的所有問(wèn)題 (應(yīng)該只修復(fù)了一小部分？)