ToDesk 存在安全漏洞，可无密码远程控制设备，请谨慎使用

这个情况是偶然间发现的，具体情况如下：

测试环境

被控端 X 是 MacOS，安装了 ToDesk 官网最新版。
控制端 A 是 MacOS，安装了 ToDesk 官网最新版。（使用密码连接过被控端 X，后正常断开）
控制端 B 是 MacOS，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
控制端 B-VM 是 Win10 虚拟机，运行在 B 上，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
被控端 X 、控制端 A 、控制端 B 都不在一个网络。

测试结果

控制端 B 无需密码即可连接，多次验证都可以。
控制端 B-VM 需要密码才能连接。

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分（这种设计真的没问题么？），当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测，并没有深入分析，虽然从事的是信息安全方向，但术业有专攻嘛，就留给感兴趣的小伙伴了～

FS1P7dJz

2021-07-09 19:12:33 +08:00

我只说一句

要求"严谨,详细"这是对厂家而言
用户只要不是故意伪造并且试图以此进行勒索,要挟,就谈不上所谓的法律责任

标题也许有点唬人,但这并不构成什么诽谤

这厂家已经入黑名单了

qfdk

2021-07-09 19:51:51 +08:00

别的不说楼主态度以及给出复现的过程还是足够详细的. 支持楼主. 之前也看到过宣传果然还是没必要下载了. 看了厂商的态度感觉不大靠谱. 楼主的节点也是信息安全，并不是所有设备都能复现同样的 poc，我感觉没有任何不妥当！

Livid

2021-07-09 20:10:30 +08:00

今天 ToDesk 官方的人一直在联系我，要 V2EX 删掉这个主题，或者禁止这个主题被回复。

然后你们也看到了，这个主题目前还是存在着的。

虽然我也觉得这个标题是有问题的，但是很多有技术含量的，认真的回复也为这个问题增加了更多的事实性补充。

我很耐心地回复了对方很多封邮件，而对方还是契而不舍地要 V2EX 删帖，原因之一是因为其他地方在转载。

我把我刚才最后一封邮件里的话打在这里：

软件如果产生了不符合用户预期的行为，用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。

但是你们不去解决软件的不符合预期的行为，而是这样来对我持续施压，我对你们公司也觉得非常失望。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788413

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.