使用百度云网盘可能造成的个人隐私泄漏问题和中国境外使用百度云网盘下载盗版资源的风险提示

本文内容基于 v2ex 上的这一帖子整理。感谢 jininij 的观点。

发生了什么?

有人发帖称在国外使用百度云网盘下载受版权保护的盗版影视剧资源时,被版权方发送警告邮件要求停止下载。曾经普遍认为,在国外使用百度云网盘等离线下载方式因不需要经过开放 P2P 网络,故可以回避影视剧版权方对盗版下载的监控。所谓的盗版的影视剧资源,即平时相当多的中国用户使用 BT 种子、电驴链接等免费下载到的盗版影视剧。

详情请看原帖。链接见上。

BaiduyunWangpan-Logo

背景

很多版权管理比较严格的国家,包括美国、日本之类,影视剧等作品的版权方都会监控 BT 、电驴网络下的下载。技术上,向 BT 和电驴发布资源是版权方是管不了的,但是他们会有专人挂在网络上来监视有谁想要下载这些资源。一旦发现有在自己能力范围内(如中国就是能力范围外,所以中国下 BT 基本没人管;美国之类就算范围内)的人试图下载,就会发邮件给这个 IP 的所有者,比如 ISP 或 IDC 机房,要求他们停止这些用户的服务。被警告的 ISP 或 IDC 机房采取的手段包括转发版权方的邮件给用户,甚至于断网、停止服务等。

所以,在 BT 、电驴客户端上往往少见美国 IP 连接,更常见的外国 IP 除了港台外,主要在欧洲。这些 IP 大多都是 IDC 机房还开着常见 VPN 端口的。正常欧美的 BT 用户下载时大多都会使用 VPN 。 Astrill 之类的外国 VPN 厂也会把能安全地 P2P 下载作为一个 VPN 服务的特点。在海盗湾之类的 BT 站上,会有 VPN 的广告,有些还会提示不挂 VPN 下载 BT 可能会有被断网的风险。而 Seedbox 等专用 BT 做种服务器则大多位于版权管理宽松的部分欧洲国家、乌克兰等地区。

由于中国普遍不管 BT 下载盗版资源的问题,导致一些中国人到国外后仍沿袭国内习惯,最后被警告乃至起诉的案例屡见不鲜。(可见诸 Google 搜索)。因此,有人会在国外使用迅雷离线下载、QQ 旋风离线下载或百度云网盘、115 网盘离线下载功能将内容离线下载。且在一些教程性质的文章里,亦有人这样建议。然而,就目前的观察和既有案例的合理推测,使用百度云网盘客户端下载 BT 等盗版资源在版权管控严格的国家会存在被起诉的风险;使用百度云网盘客户端,无论所在国家,亦存在所下载文件被泄露的风险。

原理推测

请注意:由于存在风险的场景难以在可控环境里再现,因此,下方仅基于已有事实做出合理推测。不对下方推测负任何责任。

由于带宽资源昂贵,而现在大量用户使用百度云网盘共享盗版影视剧等资源、亦有大量用户使用百度云网盘离线下载 BT 、电驴等 P2P 网络资源,因此,百度理所当然会尽可能地节约自己的带宽。而节约的手段就是依靠用户之间上传和向 BT 、ed2k 等其他 P2P 网络吸血这两种。这两种手段都属于 P2P 。

BaiduyunWangpan-P2P

如图所示,在百度云网盘客户端下载某些资源时,文件名上会出现一个英文字母 P 的图标。鼠标悬停在上面,会弹出提示。然而,考虑到平时 BT 做种时,几乎不会碰到百度云网盘客户端连接(当然,不排除百度云客户端伪造 User Agent 的可能),因此几乎可以确定的是,百度云网盘有自己的私有 P2P 网络。

电影等的版权方在监控如 BT、电驴等 P2P 网络下载时,是“挂在”网络上,看有哪些客户端试图连接自己下载文件。之后再调查这些客户端的来历。版权方肯定无法“挂在”百度云私有的 P2P 网络上面。既然版权方能发现,就说明百度云网盘客户端向公共 BT 网络上传了文件。

百度云在有自己 P2P 网络的同时,仍然连接其他公共 P2P 网络的意图很简单——向公共 P2P 网络吸血可以获得更快的速度。但是,在向公共 P2P 网络吸血的同时,百度云网盘客户端很有可能会象征性地上传一部分文件。在 BT 和电驴等公共 P2P 网络中,正规客户端(即除了百度云网盘客户端、迅雷、QQ 旋风外的大多数客户端)会优先地给上传多的用户传文件。为达到尽可能快的速度,百度云网盘客户端很有可能会给其他部分客户端上传,而就在这时,电影等的版权方就能侦测到百度云网盘客户端。

抛开可能因版权问题引发的纷争,百度云网盘客户端直接使用 P2P 下载,且不提供关闭的渠道,势必会使得其他使用百度云网盘客户端的电脑得以知悉有哪些其他百度云用户在试图下载同样的文件;且技术上可能可以通过对某台电脑发出的 DHT 广播信息等类似信息的侦测,进而掌握某台特定电脑下载文件的信息。考虑到百度云网盘客户端似乎只会给一部分资源使用 P2P 加速,不是所有的文件都会被泄露。

回避方法

如果担心版权问题,那么应该尽可能避免使用 P2P 网络下载器,包括百度云网盘客户端、迅雷、QQ 旋风下载任何有侵犯版权可能的文件。使用旧版( 3.9 及以前版本)可能没有问题,3.9 之后的 QQ 旋风在从离线服务器上下载的同时也会从公共 P2P 网络里吸血下载。迅雷亦可能可以。见客服在截图中的回复。但保险起见,不应使用任何网盘客户端或 P2P 网络客户端下载此类文件。

使用这些方法可以回避。

  • 使用网页版,或 IDM( Internet Download Manager )、BaiduExporter 等可以确定直接只从百度云中心服务器下载的方式。
  • 也可以直接使用 VPN 下载 P2P 内容。所使用的 VPN 应该是针对公共 P2P 网络做过专门优化的,普通的 VPN 可能无法正常使用公共 P2P 网络。
  • 使用来自其他版权管理较松地区的服务器,如 VPS 等作为跳板,通过 P2P 网络下载到这些服务器上后再下载到本地。

扩展阅读

https://zhuanlan.zhihu.com/p/24934111

“使用百度云网盘可能造成的个人隐私泄漏问题和中国境外使用百度云网盘下载盗版资源的风险提示”的2个回复

  1. Crave TV是加拿大Bell的
    就是发明电话那个美国Bell的加拿大分舵
    搞的和Comcast一样电话宽带公司还有个电视台
    当然Comcast还有一个Universal Pictures
    就是令人费解当初怎么把Universal Music 卖了

  2. 现在百度云使用aria2
    Surge抓包发现baidupcs还有其cdn例如ourdvsss.com(网宿的CDN)已经使用443端口,115还没有
    为稳妥起见115还是继续套上国内梯子进行下载
    百度云已经裸奔
    原因是国内梯子短时间高速下载(20兆每秒以上),就会断流
    直接下载,虽然是国内,但是百度云及其使用的CDN直连速度表现优秀,115速度会下降的很厉害
    人在加拿大某校,学校自己的网络,有自己的ASN,与当地运营商shaw cables和大名鼎鼎的he做了bgp,国内大一些的网站直连是特别优秀的
    V2EX有些人也不聪明,说什么Aria速度起不来,没想到安装客户端抓包分析一下,用户代理你得改改,改前改后分配的服务器都不一样,比如
    百度云的netdisk;2.2.1;pc;pc-mac;10.13.3;macbaiduyunguanjia
    115是Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36 115Browser/8.4.0
    115还得改Referer,就是访问115时点云下载,把这时浏览器地址栏的地址填进去,类似
    https://115.com/?cid=(这里每个人不一样)&offset=0&tab=download&mode=wangpan

    收到了百度云115已不是类似Dropbox那样的同步盘,而是https://www.torrentsafe.com/还有https://put.io/这种Cloud Torrent Client

    百度云可以40个线程,115垃圾一些,两个顶多十兆每秒,官方客户端都是单线程的

    为稳妥的用ssl加密的百度云下载裸奔,特地找了新闻,http://info.51.ca/life/play/2016-09/457142.html
    提到加拿大与美国对于版权问题的细微差异,还有加拿大不是美国那种疯狂罚款

    不知道这边会不会丧心病狂学防火长城搞DPI呢?甚至是SSL DPI(滑稽)

    V2EX上那个没有理由,美国有最全的Netflix HBO NOW HULU现在还有了Youtube TV,加拿大的Netflix少了太多(不过你挂美国梯子就会发现,交加币看美区,没有封杀,很溜),加拿大还有Crave TV比较流行

    当然看为了看Grand Tour和The Marvelous Mrs.Maisel我还在用Amazon Prime Video

    我依然没有放弃下载,很简单,在线播放的码率太低,特别是Netflix
    即使挂美国梯子看HBO NOW你会发现必须用Flash
    Hulu特别屌,光验证IP(比Netflix还严,市面上你找不到几个能看的梯子),现在加入地理位置验证,无论桌面亦或是移动端,这个陋习被Youtube TV学去

    有时候你看医疗或律政剧字幕还是少不了

    这边学校都是部署的Cisco的AP,802.1X,用学生ID名和密码,支持5Ghz,宿舍门口顶上就有一个,不下载可惜了,虽然有每个月流量限制,基本上超了没人管我

    人民日报海外版这篇文章比较滑稽
    http://paper.people.com.cn/rmrbhwb/html/2017-08/07/content_1796285.htm

    抓包发现不存在你说“百度云中心服务器”哦
    都是各运营商机房,以前用梯子,根据梯子位置分配,现在裸奔肯定是连与HE做了BGP的那一个

发表评论