ToDesk 存在安全漏洞,可无密码远程控制设备,请谨慎使用

2021-07-09 00:46:11 +08:00
 2le

这个情况是偶然间发现的,具体情况如下:

测试环境

测试结果

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分(这种设计真的没问题么?),当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测,并没有深入分析,虽然从事的是信息安全方向,但术业有专攻嘛,就留给感兴趣的小伙伴了~

32145 次点击
所在节点    信息安全
170 条回复
hs0000t
2021-07-09 00:52:21 +08:00
插眼 无 Mac 等楼下复现
also24
2021-07-09 01:29:55 +08:00
未有使用过这个软件,但猜测控制密码(或其它凭证)是否自动通过 iCloud 钥匙串同步了
woshijidan
2021-07-09 01:58:34 +08:00
连过一次下次就会记住密码
ashong
2021-07-09 02:34:12 +08:00
icloud 同步?
darknoll
2021-07-09 08:03:11 +08:00
别用这玩意了,现在传个文件都要充钱
waising
2021-07-09 09:00:09 +08:00
@darknoll #5 推广的时候说的天花乱坠的
NewYear
2021-07-09 09:19:55 +08:00
还在等什么,遍历全网机器啊。。。

连接自己的机器,录屏也不能证明你的密码是不是自动保存了。
zhangchongjie
2021-07-09 09:27:45 +08:00
这个已经开始花钱了,不用了,找个其他替代,除了花生壳,还有其他的推荐吗
fanguangwei
2021-07-09 09:29:04 +08:00
搞 wireguard 比这 todesk 中转流畅多了
Lemeng
2021-07-09 09:30:48 +08:00
密码记录,自动连接?
zsxzy
2021-07-09 09:49:30 +08:00
anydesk 挺好用的
ClericPy
2021-07-09 09:51:41 +08:00
manjaro 上 CPU 超高, 不知道什么原因, 目前已经换替代品

anydesk 如果速度快点就好了

teamviewer 是我 manjaro xfce4 上唯一能解锁屏幕的, 却一直说我商用...
huluwa561
2021-07-09 10:03:10 +08:00
ToDesk 简直奇葩,有一次我更新完,用户名居然变成了我的密码
kerro1990
2021-07-09 10:08:24 +08:00
ToDesk 奇奇怪怪得 bug,远程看视频居然黑屏,还是 teamviewer 好使
yuhu
2021-07-09 10:10:49 +08:00
cweijan
2021-07-09 10:12:04 +08:00
@darknoll 就 3 元, 也不贵, 你要不要这么抠
2le
2021-07-09 10:35:32 +08:00
@NewYear 如果这么容易就能复现,那开发和测试都可以开除了。至于录屏问题,确实没法 100%证明,不过当时的 PCAP 包都有保存,也算是留了一部分证据。
meisen
2021-07-09 10:39:17 +08:00
昨晚在 macOS 和 iOS 上测试,不管是否同一网络,只要成功连接一次,再次连接都不需要密码。

今天起来发现 iPhone 电量快没了,打开发现 ToDesk 一直在后台运行,macOS 上未设置开机启动却在活动监视器里发现也存在。

果断卸载!
xinJang
2021-07-09 11:38:29 +08:00
我都是 windows,暂时没遇到这个问题,倒是遇到另一个问题,就是我常用的设备经常被识别成新设备,每天给我发 n 封确认新设备登录的邮件
PUBG98k
2021-07-09 11:43:42 +08:00
1.我们看到 这个视频里,总共涉及 3 个设备代码,
第一个代码是 被控的设备代码,550891299 (这台机器后面看是台 MAC 机器,后面简称 mac 被控).
第二个 设备代码是 609039162 (这是台主控机器,运行在 mac 系统上的虚拟机里,
虚拟机里是 win10 系统,后面简称 win10 主控),第三个设备代码 886744665 (这机器充当着主控,运行在真实的 mac 系统上,后面简称 mac 主控)。

2,我们看流程图,首先,这个视频里用 win10 主控去链接 mac 被控,输入了 ID,反复了好几次,都要求输入密码,结果这个视频里没有输入密码,官方后台日志,也提供了,相关的数据

细心的观众现在大概已经清楚了,这位视频剪辑者,
首先 在 2021-07-08 23:13:08 使用 mac 主控去链接了 mac 被控,输入了被控密码,并且密码验证成功了(我们都知道在客户端勾选了记录历史密码的情况,会保存上一次链接的密码,下下次再连就不需要输入了,方便第二次链接),然后 在 2021-07-08 23:14:37 这位视频剪辑者用 win10 主控去链接 mac 被控,要求输入密码(这是正确的操作),最后,最重要的地方就是 这位视频剪辑者返回 mac 主控再次来对 mac 被控发起远程,发现成功了(因为保存历史记录的远程,没有要求你输入密码,因为在本机的历史文件中记录了上次输入的密码,所以会尝试用上次的作为这次的密码,如果对方改了密码,那这次是验证是无效的),这时候,这位视频剪辑者就开始攻击我方,说我方无须密码就可以访问被控端。


===================
上面很乱.总结如下:

1.只有成功输入密码连接成功后,才会在历史记录下拉菜单里有保存记录.
2.后端有日志记录了,每次都有密码请求.并且验证通过





以上就是我方作为受害方对整件事情的调查结果。所有数据我方确保合法。
我们将用法律武器,来维护我们自己的利益,这位视频剪辑者望你好自为之.

---------------------------------------

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788413

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX