速盘 speedpan,一款本以为十分优秀的第三方网盘工具,可以不限速下载百度网盘的内容。本网也一直在更新它的最新版本。但是近期吾爱论坛爆出速盘有收集用户数据的行为,并上传到自己的服务器。随后作者菩提叶出来澄清,事情结局如何?究竟能不能用?我们一起看看吧。。。。
以下是吾爱论坛左右1906 分析的结果,原文如下:
2.jpg (268.27 KB, 下载次数: 2)
2019-1-21 20:35 上传
速盘是一个知名的百度网盘下载工具了,几乎是无人不知 ,但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析全过程。首先下载速盘工具(下载地址速盘官网:http://www.speedpan.com)并打开打开速盘下载工具,看到其告知需要登录才能下载:
于是登录了百度网盘账号,并使用了里面的分享并下载方式:
在这时打开了抓包软件,抓取奇数据包,在数据包中,发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包,而数据包中发送的内容却包括在速盘登录的账号的cookie数据:
而通过截图可以看到,在发送的cookie中,包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借这个,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号,甚至由于百度各个旗下产品公用统一的SSO(单点登录)进行登录,所以速盘服务器端甚至可能可以登录其他百度产品(如:百度贴吧,百度知道……)。
以上是分析全过程,希望使用速盘的朋友予以重视,修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全
文件名称:speedpan_1.9.13.7z
CRC32: 4CE28389
MD5: 51AE6D761DCC45BDD43CA5938B22A727
SHA-1: 6D546D7628A32C3043FD08AB9391F68698487815
由于文件超过限制大小,上传百度云!
样本下载:链接: https://pan.baidu.com/s/1NfRZSQ9wcZ-WpWPOLXLawA 提取码: vxry
解压密码是52pojie
以上是分析者提出的观点,随后速盘作者菩提叶做出回应如下:
随后速盘更新了以下内容:
双方各执一词,所以我这个看客也是一脸闷逼,到底要不要用?不得而知,我早已经开了年费会员,但是还是一直在推荐大家使用速盘和pandownload等第三方软件,毕竟开会员的不是大多数。
建议大家近期不要使用吧,先观察一段时间再说。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
