鲁达 速盘是一知名百度网盘下载工具,用户量不小。但速盘涉嫌上传用户敏感数据,可能导致用户的百度网盘及百度相关账户被非法访问。
根据相关测试,速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析过程。
首先下载速盘工具(下载地址速盘官网:)并打开打开速盘下载工具,看到其告知需要登录百度网盘才能下载:
登录百度网盘账号,并使用了里面的分享并下载方式:
这时打开抓包软件,抓取奇数据包,在数据包中,可以发现在一堆像百度请求的数据中,包含一个向速盘自有域名)发送的数据包,而数据包中发送的内容竟包括在速盘登录的账号的cookie数据:
而通过截图可以看到,在发送的cookie中,还包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借此凭证,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号。由于百度旗下各产品采用了SSO(单点登录),所以可以用此凭证登陆百度相关的所有账号,如:百度贴吧,百度知道……。
希望使用速盘的朋友予以重视,尽快修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全。
文件名称:
CRC32: 4CE28389
MD5: 51AE6D761DCC45BDD43CA5938B22A727
SHA-1: 6D546D7628A32C3043FD08AB9391F68698487815