ToDesk 存在安全漏洞，可无密码远程控制设备，请谨慎使用

插眼 无 Mac 等楼下复现

未有使用过这个软件，但猜测控制密码（或其它凭证）是否自动通过 iCloud 钥匙串同步了

连过一次下次就会记住密码

icloud 同步？

别用这玩意了，现在传个文件都要充钱

@darknoll #5 推广的时候说的天花乱坠的

还在等什么，遍历全网机器啊。。。

连接自己的机器，录屏也不能证明你的密码是不是自动保存了。

这个已经开始花钱了,不用了,找个其他替代,除了花生壳,还有其他的推荐吗

搞 wireguard 比这 todesk 中转流畅多了

密码记录，自动连接？

anydesk 挺好用的

manjaro 上 CPU 超高, 不知道什么原因, 目前已经换替代品

anydesk 如果速度快点就好了

teamviewer 是我 manjaro xfce4 上唯一能解锁屏幕的, 却一直说我商用...

ToDesk 简直奇葩，有一次我更新完，用户名居然变成了我的密码

ToDesk 奇奇怪怪得 bug，远程看视频居然黑屏，还是 teamviewer 好使

@PUBG98k

@darknoll 就 3 元, 也不贵, 你要不要这么抠

@NewYear 如果这么容易就能复现，那开发和测试都可以开除了。至于录屏问题，确实没法 100%证明，不过当时的 PCAP 包都有保存，也算是留了一部分证据。

昨晚在 macOS 和 iOS 上测试，不管是否同一网络，只要成功连接一次，再次连接都不需要密码。

今天起来发现 iPhone 电量快没了，打开发现 ToDesk 一直在后台运行，macOS 上未设置开机启动却在活动监视器里发现也存在。

果断卸载！

我都是 windows，暂时没遇到这个问题，倒是遇到另一个问题，就是我常用的设备经常被识别成新设备，每天给我发 n 封确认新设备登录的邮件

1.我们看到 这个视频里，总共涉及 3 个设备代码，
第一个代码是 被控的设备代码，550891299 （这台机器后面看是台 MAC 机器，后面简称 mac 被控）.
第二个 设备代码是 609039162 （这是台主控机器，运行在 mac 系统上的虚拟机里，
虚拟机里是 win10 系统，后面简称 win10 主控），第三个设备代码 886744665 （这机器充当着主控，运行在真实的 mac 系统上，后面简称 mac 主控）。

2，我们看流程图，首先，这个视频里用 win10 主控去链接 mac 被控，输入了 ID，反复了好几次，都要求输入密码，结果这个视频里没有输入密码，官方后台日志，也提供了，相关的数据

细心的观众现在大概已经清楚了，这位视频剪辑者，
首先 在 2021-07-08 23:13:08 使用 mac 主控去链接了 mac 被控，输入了被控密码，并且密码验证成功了（我们都知道在客户端勾选了记录历史密码的情况，会保存上一次链接的密码，下下次再连就不需要输入了，方便第二次链接），然后 在 2021-07-08 23:14:37 这位视频剪辑者用 win10 主控去链接 mac 被控，要求输入密码（这是正确的操作），最后，最重要的地方就是 这位视频剪辑者返回 mac 主控再次来对 mac 被控发起远程，发现成功了（因为保存历史记录的远程，没有要求你输入密码，因为在本机的历史文件中记录了上次输入的密码，所以会尝试用上次的作为这次的密码，如果对方改了密码，那这次是验证是无效的），这时候，这位视频剪辑者就开始攻击我方，说我方无须密码就可以访问被控端。


===================
上面很乱.总结如下:

1.只有成功输入密码连接成功后,才会在历史记录下拉菜单里有保存记录.
2.后端有日志记录了,每次都有密码请求.并且验证通过





以上就是我方作为受害方对整件事情的调查结果。所有数据我方确保合法。
我们将用法律武器，来维护我们自己的利益，这位视频剪辑者望你好自为之.

---------------------------------------