飘在云端

东西南北,海角天涯

· 随笔 · · 400次浏览

360极速浏览器内置下载器疑似存在审计

版本:13.0.2212.0
系统:win7 32位
浏览器选项:使用下载加速模块选项无论是否勾选,100%复现
下载地址:境内CDN直链地址
文件信息:xxxx.exe 可执行程序安装包,文件大小约50MiB,文件已使用AES-256加密。
同一环境下:IE11 ,Google Chrome 89.0.4389.90/EDGE 正常满速下载,使用360极速浏览器下载,下载速度慢,没速度,但360极速浏览器是满速开始的,随后两三秒内速度骤降为0,而使用同一个网络下面的其他浏览器,或任意专业下载工具,能正常满速下载,如Aria2c/IDM/迅雷/闪电下载

尝试:升级浏览器至最新版,切换 使用下载加速模块 选项 测试,重置浏览器到默认设置
对比测试控制变量,结果照旧

值得玩味的是,因为我下载的文件名带有敏感词汇,但是文件本身是加密的压缩包,同一个CDN同一个路径下,其他文件速度正常,而带有这个特定词汇的文件下载两三秒直接速度为0,有极低概率满速下载能坚持了10秒多,但也是速度也会快速阶梯式/或者直接骤降为0。

做进一步测试,创建任意几个空白文件(文件是空内容,二进制0填充),文件大小不等,压缩加密,文件名改成某著名代理工具的名字,传到CDN上面,360极速浏览器下载都是没速度的,手机端、其他电脑的其他浏览器(除360极速浏览器),下载工具都是满速。

任意一个普通exe文件改名为特定名字,缓存到CDN上面,使用360极速浏览器内置下载器下载,无速度,其他浏览器(如IE11)或下载工具,都是正常满速。

来个更骚的操作,不加密,文件数据为空的二进制0,改成敏感字符,后缀改成.zip/exe分别测试,360极速浏览器不出所料没任何速度。

结果可以说不言而喻了,360极速浏览器是360全家桶里面为数不多的几个良心产品,没想到如此,可惜了

评论 (0条)