ToDesk 是款使用体验不错的国产远程控制软件 , 免费版基本可以满足日常使用 , 同时也提供付费的企业版。
昨天晚上有网友联系蓝点网称其所在公司正在紧急排查安装 ToDesk 的电脑,当时蓝点网还未注意安全公告。
原本以为发现严重安全漏洞需要下载新版本升级,不过看到公告才发现原来是个人版远控分享存在安全隐患。
如果蓝点网没猜错的话应该是 ToDesk 远控分享链接被爬虫抓取,任何人拿到带密码的邀请链接就可以远控。
请用户立即卸载或排查:
如果你已经安装 ToDesk 并且暂时不使用的话,可以直接卸载确保安全性,只要卸载后链接泄露也没啥问题。
如果你还要继续使用的话请按照以下说明进行排查,尤其要注意必须修改临时密码否则被抓取到就可能被控。
同时满足以下条件即存在安全风险:使用超链接邀请发起远程控制、分享后也从来没有修改过默认临时密码。
保持设备在线、设备可以访问广域网、设备并未锁屏,满足以上条件后攻击者就可以直接远程控制你的电脑。
要同时满足这五个条件看起来很苛刻其实超级简单,毕竟开机自启动、电脑开机就联网这些都是常规的操作。
其中设备未锁屏指的是系统未解锁,因为 Windows 系统要发起被控的话控制端必须拥有系统的账号和密码。
大概率是邀请链接被抓取:
由于 ToDesk 并未详细说明邀请链接是怎么泄露的,所以蓝点网猜测大概率是生成的邀请链接可被爬虫抓取。
只要能被爬虫抓取那就可以批量获得无数台设备的远控链接,配合远控密码的话就可以连接用户电脑去操控。
至于远控密码为何泄露暂时不知道,是不是 ToDesk 的邀请链接里默认带设备码和临时密码点击链接就能用?
最后要说明的是企业版不受影响 ,企业版 ToDesk 采用设备列表和SOS方式链接不存在分享链接带来的风险。
微信扫一扫 
支付宝扫一扫 
评论列表(10条)
看了下todesk软件的设置,文章提到的
同时满足以下条件即存在安全风险:1:使用超链接邀请发起远程控制:2:分享后也从来没有修改过默认临时密码。:3:保持设备在线、设备可以访问广域网、设备并未锁屏
todesk软件的设置针对验证的,可以设置只使用安全密码。对临时密码可以做更新策略调整。可以选择每次连接后自动更新临时密码。这样的话就不会有这安全风险。
总之你品你细品。如果是针对旧版本设置bug的话,这个只能算是安全风险提醒。但提升到务必卸载的程度,我感觉背后不简单
有没有可能是Todesk贼喊捉贼,因为付费企业版不受影响,而免费个人版有这个漏洞,所以。。。。。你品你细品
应该不会,因为就算现在企业版没事,但出了这种事情,企业版的用户不会担心?以后会不会企业版的也出事?
细品,自己砸饭碗是吧。
我实在想不到什么爬虫能爬到这些东西= =会不会是被拖库了???
那么PTP为什么要用数据库呢?
密码为什么也要保存呢?
感觉还是向日葵好用点,就是时不时的登不上
一点都不好,卡得要死,屏幕翻转的机器,远控画面和鼠标都是翻转的,买了2年我就是冤大头
有好用的推荐下吗?
真的不好,最基本它抠。免费的只有SH一组服务器。而且主动P2P连接非常弱,动不动就进入中继模式,变相逼着你付费
总比没得用强点