ToDesk 存在安全漏洞,可无密码远程控制设备,请谨慎使用

2021-07-09 00:46:11 +08:00
 2le

这个情况是偶然间发现的,具体情况如下:

测试环境

测试结果

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分(这种设计真的没问题么?),当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测,并没有深入分析,虽然从事的是信息安全方向,但术业有专攻嘛,就留给感兴趣的小伙伴了~

32211 次点击
所在节点    信息安全
170 条回复
xysech
2021-07-09 20:45:37 +08:00
看到 18 楼说的,顺手看了下后台,发现 ToDesk 在未运行的状态下,后台还存有两个进程,其中一个还是以 root 用户运行,卸载~

![iShot2021-07-09 20.38.44.png]( https://i.loli.net/2021/07/09/wBSaHGd1mRiycPv.png)
beyondex
2021-07-09 20:51:35 +08:00
看了上面 ToDesk 工作人员的回复,还觉得也许只是公关人员个人的问题,再看到上面 Livid 的发言,发邮件的人也不靠谱。基本可以完全 pass 掉了。
xeathen
2021-07-09 21:02:09 +08:00
@Livid 我笑了,没有大厂的命,得了大厂的病
shadowfish0
2021-07-09 21:22:49 +08:00
@Livid 看到你这里,决定卸载 todesk,并永不再用。
bigwhite
2021-07-09 21:52:42 +08:00
吃波瓜。看到过很多推广 todesk 的文章,一直作为备选远程软件,如今考虑要拉黑了。。。
mosliu
2021-07-09 22:11:10 +08:00
@Livid 看到大大的回复,终于下决心删掉 Todesk 了。。

公关的素质侧面也反应了公司的价值观。 用这样的东西真不放心。

用了,出了问题就成了要被解决掉的了。
可怜我之前觉得挺好,还帮它推荐了不少人。。
我 too young too simple 了。。
lzsadam
2021-07-09 22:57:49 +08:00
这垃圾软件之前直接给我电脑整去维修了,装上就蓝屏。安全模式都没法进,想格式化发现硬盘都被搞坏了
最后寄去换了个硬盘,来回一个多月,影响正常使用,之后就再没敢用了
PUBG98k
2021-07-09 23:10:21 +08:00
楼主您好,因为论坛注册需要好长时间后才可以回复,借号上来回个帖
首先很抱歉,今天研发总监看到这个帖子标题的时候觉得对他有很大的打击.所以发言不当.
其次,我们安排了测试员测了好久并没有复现这个问题,也反复查阅了密码验证部分的代码,代码很严谨.
能否留个联系方式我尝试跟您这边进行更深层的测试,已确保安全.安全无小事.
非常感谢
我的联系方式:(base64)
UVExMzAxMzg0Mzg=
labulaka521
2021-07-09 23:13:21 +08:00
笑死 研发总监来背锅
yitingbai
2021-07-09 23:27:10 +08:00
@PUBG98k 最好的做法就是别回复了, V2EX 的帖子一天之后就沉下去了, 其实大多数人并不关心 bug 还是非 bug, 微软苹果还天天修 bug 呢, 主要就是个态度问题, 动不动就律师含, 好大的官威. 既然话已经说出去了, 就默默的等待事件平息比较稳妥, 否则越描越黑, 把产品做好, 比说什么都管用, 没人会记得这个帖子
Livid
2021-07-09 23:27:56 +08:00
@PUBG98k 让你们那位姓钟的同事不要再发邮件给我了行不?

北京时间 11:23 PM 还在发邮件要我禁止这个主题的回复。

我们的小破论坛系统没有这种功能。
PUBG98k
2021-07-09 23:32:28 +08:00
@Livid 抱歉,今天下午跟运营提了一嘴,说希望能把这个事协商下降低影响.
没有想到这个点还发邮件.抱歉.我跟他们说下
thisismr2
2021-07-09 23:48:05 +08:00
🍉
minami
2021-07-10 00:04:38 +08:00
@PUBG98k #108 除了研发总监背锅,能不能解释下前面那个水军账号的问题啊,是不是你们的员工
0o0O0o0O0o
2021-07-10 00:06:38 +08:00
@yitingbai #110 V2EX 特殊在于这类主题不会被删除,而 google 对于 V2EX 的收录相当快速和优先,搜 “ToDesk 漏洞”已经在第一条,搜 "ToDesk 安全" 也在第一页靠前,所以官方接下来处理这件事的方式方法其实也很重要

@PUBG98k
goodniuniu
2021-07-10 00:09:13 +08:00
关注一下,用户注重安全的需求无可厚非,动辄就是用户抹黑的判断不应是做安全产品厂家应有之态度。
billlee
2021-07-10 00:14:39 +08:00
咦,对非登录用户返回 404 了?
ThreeBody
2021-07-10 00:36:58 +08:00
看完所有回复,我真的是擦,我还买的 10 年 vip,还推荐公司两位同事买了 VIP,没想到 todesk 你们就是这样对待用户的
DeWjjj
2021-07-10 00:37:17 +08:00
@2le 虚拟机不能作为测试条件,尤其是 mac 的虚拟机,mac 的虚拟机做不到完全隔离,第二不是双网卡设备也不要去测。或者测的时候开启两台虚拟机,避免极大可能是由于残留在了本地运行环境内导致的问题。
而做安全你应该也知道,不防本地。
DeWjjj
2021-07-10 00:39:43 +08:00
@2le 测一波大的,然后给他干趴下,还嘴硬。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788413

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX