迅雷被发现替换用户下载的ISO镜像 换成带有各种捆绑软件的非官方镜像

根据网友多次测试和分析(再次更新：PureSys 已删除该分析报告)，迅雷还使用此功能替换包括爱奇艺和优酷视频等客户端，换成带有渠道标识符的推广版本(与各位在安卓机上下载游戏时被应用商店强制替换为渠道版本类似)。

但迅雷已经在1月25日通过云控关闭该功能，所以现在进行测试的话是不会发现劫持的，下面网友这个视频的发布时间是1月22日。

据 B 站网友 @GTX690战术核显卡导弹 发布的视频，迅雷下载会检测用户所需文件的文件名然后替换文件，例如用户下载的是 Windows 10 微软官方版镜像文件，会被自动替换为第三方封装的版本。

而第三方封装的版本里默认捆绑预装 360 浏览器、双核浏览器、Win 应用商店、WPS、夸克、QQ 游戏等，当然也会预装 Chrome 浏览器但已经强制锁定广告版网址导航。

迅雷下载的这种行为已经不能称为替换，毕竟用户输入的下载地址被劫持，这种行为对于使用迅雷下载的用户来说存在极高的威胁，毕竟没人知道迅雷到底会劫持哪些文件，也无法确定第三方提供的版本是否安全。

网友在进行测试时也发现非常明显的问题，即迅雷不会识别具体的下载网址，而是检测到特定的文件名称后就执行替换，哪怕源网址根本就不存在也无所谓，照样能给用户下载下来。

在下载对话框中迅雷给替换的文件加上所谓的 AI 增强版，这也是唯一能够在下载前识别到异常的地方，但对于非专业用户来说看到所谓的 AI 增强版估计也不会起戒心。

至于下载的文件本身就不是源网站提供的，所以也不需要校验哈希值之类的，显然如果用户校验的话肯定会发现哈希值对不上，这也是为什么我们总是强调下载后要校验哈希值的原因。

校验哈希值有两方面原因，第一是有时候文件在下载过程中可能损坏导致无法顺利安装系统，第二就是应对迅雷这类的劫持行为，只要用户核对哈希值那肯定能发现对不上。

迅雷的这种行为对用户来说是非常不负责任的，我们不相信迅雷会对这些替换文件进行完整的检测，在无法确定第三方文件是否安全的情况下就进行替换，显然存在极大的安全威胁。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/