ToDesk 存在安全漏洞,可无密码远程控制设备,请谨慎使用

2021-07-09 00:46:11 +08:00
 2le

这个情况是偶然间发现的,具体情况如下:

测试环境

测试结果

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分(这种设计真的没问题么?),当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测,并没有深入分析,虽然从事的是信息安全方向,但术业有专攻嘛,就留给感兴趣的小伙伴了~

32143 次点击
所在节点    信息安全
170 条回复
PUBG98k
2021-07-09 11:46:29 +08:00
PUBG98k
2021-07-09 11:47:13 +08:00
此视频经过剪辑处理.不知道出于什么目的..
lingxi27
2021-07-09 11:53:43 +08:00
这个赛道最近被资本看好了吗?斗争这么激烈了
lscho
2021-07-09 12:03:43 +08:00
前排插眼。。。

#20 的说法我怎么感觉就这么别扭呢,上来就开始动用法律武器了。。。

你只是后台看到日志要求 win10 主控输入密码,视频中没有出现输入密码的步骤,就断定录屏事剪辑过的,是不是有点太武断了?会不会存在软件 bug 问题导致用户端没有出现输入密码弹窗?而且你提供的日志里也没看到有需要主控端提供密码的记录啊。
0o0O0o0O0o
2021-07-09 12:10:57 +08:00
报 bug 怎么被理解成迫害了
0o0O0o0O0o
2021-07-09 12:13:47 +08:00
我觉得楼主的描述相对普通用户已经相当详细了,我也相信好好沟通的话他也会配合开发者做复现,开发者团队这样的态度很不明智。
falcon05
2021-07-09 12:14:25 +08:00
@lscho 我也觉得,在舆论下已经输了
debuggerx
2021-07-09 12:16:36 +08:00
就冲开发者的这个态度,我就不会再考虑这款软件了
houzhishi
2021-07-09 12:17:19 +08:00
都是搞技术的,不要这么听风就是雨,我觉得软件操作逻辑没啥问题,应该是记住密码了,如果是安全漏洞验证,你应该尝试着登录其他人的。我也是用户,第一次登陆时肯定会要求密码的,应该是之前使用过,而且没有启用每次连接更换密码。标题有问题,就别怪上面老哥说要起诉你。
houzhishi
2021-07-09 12:21:54 +08:00
既然你是搞信息安全的,我就假定你的漏洞是真实的,你的流程也不符合规范,你应该提交相关复现细节,提交 cnvd 或者联系官方,你这样的确有法律风险。
liprais
2021-07-09 12:25:44 +08:00
todesk 的人脑子里装的都是啥......
darknoll
2021-07-09 12:27:42 +08:00
千万不要再使用这个软件了,真的是非常的垃圾,搞不好整点后门啥的
ncepuzs
2021-07-09 12:58:37 +08:00
建议把录制的视频放出来一并甩脸上……
angkimi
2021-07-09 12:59:13 +08:00
给各位大佬们,我都忍不住想笑了,作为 ToDesk 的用户,对这个报道还是很重视的,结合楼上老哥发的连接记录和作者的视频,其中作者有两个设备发起连接!注意关键来了:1 、23 点 14 分 20 秒视频第一个出现的设备是一个主控设备码是 [609039162] 显示连接被控设备 [550891299] 需要输入密码,这个是对的。2 、23 点 14 分 55 秒视频作者切换第二个主控设备代码是 [88644665] 同样控制 [550891299] 连接成功了,这里作者说是有漏洞。问题来了! 3 、根据楼上(应该是官方人员)@PUBG98k 提供的连接记录来看 [88644665] 作为主控设备在 23 点 13 分 07 秒已经提示连接成功一次,这就不难说明,这是正常的,因为 todesk 成功连接一次后面是无需输入密码的!感觉是恶意中伤!如果不是恶意,建议作者还是删除,和官方人员解释一下,误会一场。大家还是要保障网络良好氛围!如果是竞争对手恶意去诋毁一家好的产品,感觉没必要,何必用诋毁去污蔑呢?这样我就建议报警吧!

最后希望大家给本回复点个赞吧!
angkimi
2021-07-09 13:00:55 +08:00
建议官方先截图取证
binux
2021-07-09 13:09:00 +08:00
@angkimi 你「作为 ToDesk 的用户」在 V2EX 发的唯一一帖就是 ToDesk 的推广。

以上就是我方作为舆论操纵的受害方对你回复的调查结果。所有数据我方确保合法。这位评论者望你好自为之。
minami
2021-07-09 13:09:38 +08:00
@angkimi #34 你这个小号未免也太明显了吧,上次登录是三百多天前,发帖记录只有一个 ToDesk 的推广贴,然后接着就是几分钟前本帖的这两个回复。V 站程序员很多,日志看不到问题不等于没有 bug,这个道理应该都是明白的,上来就是恶意中伤警告,只能说是公关灾难了
ck65
2021-07-09 13:12:16 +08:00
智商之低,叹为观止,周末愉快
angkimi
2021-07-09 13:12:56 +08:00
报 bug,为什么在公众平台发帖呢?为什么标题让别人谨慎使用呢?为什么确定 todesk 存在安全漏洞呢?你和他估计是一伙的吧?这个行业看样子有一场好戏看了!看你们演!
Otho
2021-07-09 13:14:08 +08:00
老哥就在论坛里发了个贴,不知道双方有没有私下沟通一下,官方这态度就不是解决问题的态度。私下好好的沟通一下,查查问题多好。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788413

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX