ToDesk 存在安全漏洞，可无密码远程控制设备，请谨慎使用

这个情况是偶然间发现的，具体情况如下：

测试环境

• 被控端 X 是 MacOS，安装了 ToDesk 官网最新版。
• 控制端 A 是 MacOS，安装了 ToDesk 官网最新版。（使用密码连接过被控端 X，后正常断开）
• 控制端 B 是 MacOS，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
• 控制端 B-VM 是 Win10 虚拟机，运行在 B 上，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
• 被控端 X 、控制端 A 、控制端 B 都不在一个网络。

测试结果

• 控制端 B 无需密码即可连接，多次验证都可以。
• 控制端 B-VM 需要密码才能连接。

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分（这种设计真的没问题么？），当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测，并没有深入分析，虽然从事的是信息安全方向，但术业有专攻嘛，就留给感兴趣的小伙伴了～