ToDesk 存在安全漏洞，可无密码远程控制设备，请谨慎使用

这个情况是偶然间发现的，具体情况如下：

测试环境

被控端 X 是 MacOS，安装了 ToDesk 官网最新版。
控制端 A 是 MacOS，安装了 ToDesk 官网最新版。（使用密码连接过被控端 X，后正常断开）
控制端 B 是 MacOS，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
控制端 B-VM 是 Win10 虚拟机，运行在 B 上，安装了 ToDesk 官网最新版。（从未连接过被控端 X ）
被控端 X 、控制端 A 、控制端 B 都不在一个网络。

测试结果

控制端 B 无需密码即可连接，多次验证都可以。
控制端 B-VM 需要密码才能连接。

测试结果录屏

题外话

从现象来看连接密码似乎并没有作为端到端加密密钥的一部分（这种设计真的没问题么？），当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测，并没有深入分析，虽然从事的是信息安全方向，但术业有专攻嘛，就留给感兴趣的小伙伴了～

houzhishi

2021-07-09 13:23:46 +08:00

@minami 既然大家是写代码的，那你告诉我这样的认证场景，该怎么写，如果所有连接不需要认证，那么漏洞早就应该出来了，如果需要验证，那我们就需要排除到，认证中可能存在的流程问题，比如记住连接记录。标题一上来，就是发现漏洞，丝毫没有严谨而言，我看不到作为网络安全从业者的谨慎。

hhacker

2021-07-09 13:24:38 +08:00

有问题有 BUG 很正常谁能说自己没写过 BUG，即便用户是推测得出的不可靠的结论，也是在帮助你们改进产品，如果上面的“官方”回复确实是开发团队的回应，你们的确未能占领任何高地。

minami

2021-07-09 13:48:37 +08:00

@houzhishi 扯开话题的本事够强啊，我只是说日志不一定可靠，你就能脑补出这么多。那我问你，你有去尝试复现吗？能复现就可能是 bug，不要拿日志没问题来说事

houzhishi

2021-07-09 13:59:30 +08:00

@minami 不好意思，我这边复现不了，我是 Windows 端，我脑补个锤子，是谁在脑补，我一直在说实事求是，以及严谨。mac 在家，回家后将继续尝试 mac 下的浮现。我和你是基于对开发了解的前提下，考虑，如果你觉得我是在怼你，那你可以不用回复我了。

boboliu

2021-07-09 14:07:39 +08:00

todesk 作为一个用户量还算蛮多的工具，真的出这种问题要复现恐怕也是条件苛刻的极个例才能复现，既然官方都在这了各位说复现不了的安全从业人员还是丢给官方去查吧

minami

2021-07-09 14:23:43 +08:00

@houzhishi #53 自己都没验过，发言里都是假设，就来说实事求是、严谨（而且“实事求是”这四个字你是第一次发，哪来的一直在说？）。语气那么冲，硬要说自己不是在怼。我算是明白为什么网上容易吵了，就是自我感觉良好又喜欢双标的人引起的。我自认为我在 37 楼的发言并没有任何问题，也没有 AT 你，你为什么会来 AT 我？
不知道贵司是什么情况，我是做 toB 产品的，日志没问题、不能被稳定复现，最后也被记 bug 是再正常不过的事情了（当然一直无法复现也不能强求）。市场报 bug 也不会心平气和的提供细节（敢质疑用户？）

houzhishi

2021-07-09 14:41:30 +08:00

@minami 哈哈哈，自我感觉良好，你是在说自己的吧。我是说我在 windows 下复现没有出现这种情况，不是没有复现，而且这是个跨平台的软件，验证握手是经过服务端的，理论上不同平台不影响验证流程。从安全角度讲，这种未授权访问的漏洞，不等于常见的 bug，需要一定的条件支持，而不是你说的这种不能复现随机的 bug 。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/788413

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.