迅雷被曝劫持下载内容:官方 ISO 镜像被替换为捆绑软件的第三方版本
近日,有 B 站网友 @GTX690战术核显卡导弹 发布视频称,在使用 迅雷 下载 Windows 10 等系统 ISO 镜像时,实际获得的文件并非微软官方原版,而是被自动替换为第三方封装镜像,内含大量预装和捆绑软件。
测试显示,迅雷并未校验具体下载源地址,而是仅根据文件名进行识别和替换。即便原始下载链接不存在,迅雷仍可向用户提供所谓的“替代文件”。被替换的镜像中默认捆绑安装 360 浏览器、双核浏览器、WPS、QQ 游戏、夸克等软件,部分浏览器还被锁定广告导航页面。
在下载界面中,这类被替换文件通常被标注为“AI 增强版”,但该提示并不明显,普通用户难以据此判断异常。由于文件并非来自原始发布方,其哈希值与官方镜像必然不一致,只有在用户主动校验校验值时才能发现问题。
安全人士指出,这种行为已不属于简单的“加速优化”,而是对用户下载内容的实质性劫持。在无法确认第三方封装镜像安全性的情况下进行替换,可能带来系统安全、隐私及供应链风险。
事件引发用户对下载工具可信度的担忧,也再次凸显下载系统镜像后进行哈希校验的重要性。截至目前,迅雷方面尚未就相关指控作出公开回应。
近日,有 B 站网友 @GTX690战术核显卡导弹 发布视频称,在使用 迅雷 下载 Windows 10 等系统 ISO 镜像时,实际获得的文件并非微软官方原版,而是被自动替换为第三方封装镜像,内含大量预装和捆绑软件。
测试显示,迅雷并未校验具体下载源地址,而是仅根据文件名进行识别和替换。即便原始下载链接不存在,迅雷仍可向用户提供所谓的“替代文件”。被替换的镜像中默认捆绑安装 360 浏览器、双核浏览器、WPS、QQ 游戏、夸克等软件,部分浏览器还被锁定广告导航页面。
在下载界面中,这类被替换文件通常被标注为“AI 增强版”,但该提示并不明显,普通用户难以据此判断异常。由于文件并非来自原始发布方,其哈希值与官方镜像必然不一致,只有在用户主动校验校验值时才能发现问题。
安全人士指出,这种行为已不属于简单的“加速优化”,而是对用户下载内容的实质性劫持。在无法确认第三方封装镜像安全性的情况下进行替换,可能带来系统安全、隐私及供应链风险。
事件引发用户对下载工具可信度的担忧,也再次凸显下载系统镜像后进行哈希校验的重要性。截至目前,迅雷方面尚未就相关指控作出公开回应。
