迅雷被安全研究人員爆錘 懈怠回應導致大量漏洞被研究人員公開

安全行業目前的慣例是研究人員發現漏洞並通報給開發商後，開發商有三個月的時間進行修復，當然如果覺得三個月時間不夠，還可以與研究人員溝通適當延長漏洞的公開披露時間。

日前安全研究人員 Wladimir Palant 在自己的網站上手撕迅雷，指責迅雷客戶端存在大量漏洞的同時，迅雷對修復工作不積極或者說不願意與研究人員溝通，最終結果是研究人員在期滿 (90 天) 後公佈這些漏洞。

從研究人員公佈的研究來看，迅雷客戶端其實就是一個篩子，上面遍佈漏洞，因為迅雷為盡可能留住用戶提供大量功能，這些功能都是拼湊的。

由於漏洞以及相關細節比較多，這裡我們簡單梳理下，想要解所有漏洞及完整細節可以在研究人員的博客中查看。

下面是漏洞時間線：

2023 年 12 月 6 日～12 月 7 日：研究人員通過迅雷安全響應中心提交 5 個漏洞報告，實際上報告的漏洞數量更多，在報告中研究人員明確提到最終披露時間是 2024 年 3 月 6 日。

2023 年 12 月 8 日：研究人員收到回信，迅雷安全響應中心稱已經收到報告，一旦復現漏洞將與研究人員聯系 (這應該是自動回復的通知模板)。

2024 年 2 月 10 日：研究人員向迅雷提醒稱距離漏洞公佈隻有 1 個月時間，因為有些廠商會忘記截止日期，這個並不少見，於是研究人員發提醒。

2024 年 02 月 17 日：迅雷安全響應中心稱對漏洞進行驗證，但漏洞尚未完全修復，也就是確認漏洞存在，但由於 shi 山代碼太多，一時三刻沒法修復，為什麼說是 shi 山代碼看後面的說明。

附研究人員關於迅雷安全響應中心的吐槽：限制僅通過 QQ 或微信登錄，這對於國外研究人員來說很難，幸好在底部還留個郵箱。

安全問題一：使用 2020 年 4 月的 Chromium

迅雷客戶端為盡可能留住用戶並塞廣告，直接集成一個瀏覽器，這個使用迅雷的用戶應該都知道，還集成諸如播放器等功能。

然而迅雷當然不會自己開發瀏覽器，迅雷集成 Chromium 瀏覽器，這沒問題，但集成的版本還是 2020 年 5 月發佈的 83.0.4103.106 版。

這個老舊版本存在數不清的漏洞，漏洞多到令人發指，畢竟已經四年，有大量漏洞是很正常的，而且有一些高危漏洞，而迅雷至今沒有更新。

這也是前文提到的 shi 山代碼太多的原因之一，對迅雷來說或許升級個 Chromium 版本都是很難的事情，因為要處理一大堆依賴。

安全問題二：迅雷還集成 2018 年的 Flash Player 插件

所有瀏覽器都在 2020 年 12 月禁用 Adobe Flash Player 插件，這個播放器插件也存在巨量漏洞，但迅雷直接忽略。

迅雷內置的 Chromium 瀏覽器還附帶 Flash Player 29.0.0.140 版，這個版本是 2018 年 4 月發佈的，迅雷甚至都沒更新到 Adobe 發佈的最後一個安全更新。

安全問題三：攔截惡意地址簡直是搞笑

迅雷也用實際行動告訴我們什麼是草臺班子，迅雷內置的瀏覽器有攔截惡意地址的功能，包括非法網站和惡意網站等。

但迅雷還特別做一個白名單機制，即域名中的白名單在內置瀏覽器中的訪問是不受限制的，白名單域名就包括迅雷自己的 xunlei.com

在初始版本中，研究人員提到任意域名結尾追加？xunlei.com 那就能通過驗證，比如 https:// 惡意網站.com/?xunlei.com，emmm... 是個大聰明。

在後續版本中研究人員刪除上面的說法，但保留另一個問題，那就是 https:// 惡意網站.com./ 可以訪問，因為迅雷無法處理 com.

安全問題四：基於老舊的 Electron 框架開發

迅雷主要就是基於 Electron 框架開發的，但迅雷使用的版本是 830.4103.122 版，發佈於 2020 年 4 月份，和上面提到 Chromium 老舊版本情況類似，也都是篩子，這也是 shi 山代碼之二，迅雷肯定因為某種原因好幾年都不敢動這些框架版本。

上面隻是其中幾個典型的安全問題，研究人員在博客中還羅列關於插件、API、過時的 SDK 等大量問題，內容比較多這裡不再轉述。

迅雷修復嗎？

迅雷並沒有直接忽視研究人員的報告，事實上研究人員發現自己的實例代碼頁面被訪問，說明迅雷的工程師也確實在處理。

同時研究人員在 2 月份的迅雷新版本中還註意到迅雷刪除 Adobe Flash Player 集成，但如果用戶主動安裝，那還是會被激活。

所以可以斷定迅雷並沒有直接忽視漏洞，隻不過由於 shi 山代碼太多，一時三刻解決不，而迅雷最大的問題就是沒有及時與研究人員溝通，整整三個月迅雷除一個自動回復外，就在 2 月份回表示還在修復的郵件，既沒有提到是否需要延長漏洞公開時間、也沒有與研究人員溝通細節。

於是到 3 月 6 日研究人員直接公佈所有漏洞，迅雷好歹也有千萬級的用戶，無論是遲遲不更新框架版本還是懈怠處理漏洞，都會給用戶造成嚴重的安全問題。

目前迅雷並未徹底解決研究人員提到的所有問題 (應該隻修復一小部分？)，建議使用迅雷的用戶註意安全，如果不經常使用的話，可以考慮直接卸載掉。