|
ToDesk 是款使用体验不错的国产远程控制软件 , 免费版基本可以满足日常使用 , 同时也提供付费的企业版。 昨天晚上有网友联系蓝点网称其所在公司正在紧急排查安装 ToDesk 的电脑,当时蓝点网还未注意安全公告。 原本以为发现严重安全漏洞需要下载新版本升级,不过看到公告才发现原来是个人版远控分享存在安全隐患。 如果蓝点网没猜错的话应该是 ToDesk 远控分享链接被爬虫抓取,任何人拿到带密码的邀请链接就可以远控。 请用户立即卸载或排查: 如果你已经安装 ToDesk 并且暂时不使用的话,可以直接卸载确保安全性,只要卸载后链接泄露也没啥问题。 如果你还要继续使用的话请按照以下说明进行排查,尤其要注意必须修改临时密码否则被抓取到就可能被控。 同时满足以下条件即存在安全风险:使用超链接邀请发起远程控制、分享后也从来没有修改过默认临时密码。 保持设备在线、设备可以访问广域网、设备并未锁屏,满足以上条件后攻击者就可以直接远程控制你的电脑。 要同时满足这五个条件看起来很苛刻其实超级简单,毕竟开机自启动、电脑开机就联网这些都是常规的操作。 其中设备未锁屏指的是系统未解锁,因为 Windows 系统要发起被控的话控制端必须拥有系统的账号和密码。 大概率是邀请链接被抓取: 由于 ToDesk 并未详细说明邀请链接是怎么泄露的,所以蓝点网猜测大概率是生成的邀请链接可被爬虫抓取。 只要能被爬虫抓取那就可以批量获得无数台设备的远控链接,配合远控密码的话就可以连接用户电脑去操控。 至于远控密码为何泄露暂时不知道,是不是 ToDesk 的邀请链接里默认带设备码和临时密码点击链接就能用? 最后要说明的是企业版不受影响 ,企业版 ToDesk 采用设备列表和SOS方式链接不存在分享链接带来的风险。
| 
收藏