这个情况是偶然间发现的,具体情况如下:
从现象来看连接密码似乎并没有作为端到端加密密钥的一部分(这种设计真的没问题么?),当认证节点出现问题时直接允许控制端与被控端建立连接。当然这些只是我的猜测,并没有深入分析,虽然从事的是信息安全方向,但术业有专攻嘛,就留给感兴趣的小伙伴了~
看到评论说可能是 icloud 钥匙串同步 导致的,我这里再补充一些信息:
本来发这个贴也是为了探讨出现这个问题的可能性,结果倒好,直接一上来扣帽子。 既然如此,都是搞信息安全的,我就不说废话了。
本人对以下内容负责:
其他的,既然你们(特指开发者)你们都有数据,建议好好看看相关日志记录。 同理,我也保留追究你们恶意中伤/诬陷我的权利;)
看到开发者发的联系信息,我尝试在和对方联系了。后续如果有任何进展,不管是误会还是BUG,我都会附言。
顺便解答某些 V 友的一些质疑:
Q1:为什么在 V 站发帖?
常在 V 站上看到 ToDesk 官方宣传贴,我亦是从 V 站上了解到这款软件并开始使用的,自然认为在此处发帖最容易被官方开发者看到。
Q2:不充分的测试就下结论,想搞个大新闻?
并没有。如果你仔细看过帖子详情,我是尽量用客观的语言描述复现场景以及测试上下文,也是期望尽可能帮助官方发现并定位问题所在的。常规情况下的漏洞测试流程我很清楚,如果一个通用型漏洞,没有稳定的POC,我是不敢妄下结论和提报 CVE 的。但是 ToDesk 的这个情况不太一样,如果只是误会还好,一旦是真的偶发性漏洞,那就是大事。虽然可以在我的某台设备上可以稳定复现,但在其他设备上又无法复现,所以我猜测这个问题的触发一定是比较苛刻的(可能和设备、网络节点、服务器缓存节点等有关),所以发帖到信息安全节点,一方面是给正在使用 ToDesk 的 V 友提个醒注意到这个情况,另一方面也是希望在降低影响面的情况下借百家之长来补充完善相关细节(能不能复现、复现概率有多大等等)。如果我是想搞个大新闻,我有必要在 V 站发么?直白点,我拍个抖音,你猜那些技术水平稍微低一些的用户(非歧视),会怎么评价?会怎么转发?
后续:
通过论坛和 ToDesk 团队负责人取得联系后,我们进行了深度测试和本地验证,发现的确是一次乌龙事件。具体事实如下:
本次产生乌龙的原因是:我使用了 ToDesk 旧版本(默认配置),在升级新版本后,软件 UI 并没有把老版本的连接记录显示在下拉菜单中,因此产生了误会。
后续及其开发者附言详见: https://v2ex.com/t/788723
 |
101
xysech Jul 9, 2021
看到 18 楼说的,顺手看了下后台,发现 ToDesk 在未运行的状态下,后台还存有两个进程,其中一个还是以 root 用户运行,卸载~
 |
 |
102
beyondex Jul 9, 2021
看了上面 ToDesk 工作人员的回复,还觉得也许只是公关人员个人的问题,再看到上面 Livid 的发言,发邮件的人也不靠谱。基本可以完全 pass 掉了。
|
 |
104
shadowfish0 Jul 9, 2021
@Livid 看到你这里,决定卸载 todesk,并永不再用。
|
 |
105
bigwhite Jul 9, 2021
吃波瓜。看到过很多推广 todesk 的文章,一直作为备选远程软件,如今考虑要拉黑了。。。
|
 |
106
mosliu Jul 9, 2021
@Livid 看到大大的回复,终于下决心删掉 Todesk 了。。
公关的素质侧面也反应了公司的价值观。 用这样的东西真不放心。 用了,出了问题就成了要被解决掉的了。 可怜我之前觉得挺好,还帮它推荐了不少人。。 我 too young too simple 了。。 |
 |
107
lzsadam Jul 9, 2021
这垃圾软件之前直接给我电脑整去维修了,装上就蓝屏。安全模式都没法进,想格式化发现硬盘都被搞坏了
最后寄去换了个硬盘,来回一个多月,影响正常使用,之后就再没敢用了 |
 |
108
PUBG98k Jul 9, 2021  1
楼主您好,因为论坛注册需要好长时间后才可以回复,借号上来回个帖
首先很抱歉,今天研发总监看到这个帖子标题的时候觉得对他有很大的打击.所以发言不当. 其次,我们安排了测试员测了好久并没有复现这个问题,也反复查阅了密码验证部分的代码,代码很严谨. 能否留个联系方式我尝试跟您这边进行更深层的测试,已确保安全.安全无小事. 非常感谢 我的联系方式:(base64) UVExMzAxMzg0Mzg= |
 |
109
labulaka521 Jul 9, 2021 via iPhone 1
笑死 研发总监来背锅
|
 |
110
yitingbai Jul 9, 2021 1
@PUBG98k 最好的做法就是别回复了, V2EX 的帖子一天之后就沉下去了, 其实大多数人并不关心 bug 还是非 bug, 微软苹果还天天修 bug 呢, 主要就是个态度问题, 动不动就律师含, 好大的官威. 既然话已经说出去了, 就默默的等待事件平息比较稳妥, 否则越描越黑, 把产品做好, 比说什么都管用, 没人会记得这个帖子
|
 |
111
Livid MOD PRO 19
|
 |
113
thisismr2 PRO 🍉
|
 |
115
0o0O0o0O0o Jul 10, 2021 via iPhone
|
 |
116
goodniuniu Jul 10, 2021
关注一下,用户注重安全的需求无可厚非,动辄就是用户抹黑的判断不应是做安全产品厂家应有之态度。
|
 |
117
billlee Jul 10, 2021
咦,对非登录用户返回 404 了?
|
 |
118
ThreeBody Jul 10, 2021 via Android
看完所有回复,我真的是擦,我还买的 10 年 vip,还推荐公司两位同事买了 VIP,没想到 todesk 你们就是这样对待用户的
|
 |
119
DeWjjj PRO @2le 虚拟机不能作为测试条件,尤其是 mac 的虚拟机,mac 的虚拟机做不到完全隔离,第二不是双网卡设备也不要去测。或者测的时候开启两台虚拟机,避免极大可能是由于残留在了本地运行环境内导致的问题。
而做安全你应该也知道,不防本地。 |
 |
122
yujiang Jul 10, 2021 via Android
公关迷惑行为大赏,大晚上还给站长发邮件,真敬业
|
 |
125
miaomiao888 Jul 10, 2021
我比较好奇,ToDesk 自身有提供 BUG 反馈渠道,为什么不优先使用而是到 V2 发工单?
有些问题私下沟通通常很容易解决,而直接发到公共空间讨论很容易产生误解就很难控制了。 |
 |
126
xingshu1990 Jul 10, 2021
顶一下贴,增加一下帖子权重。
|
 |
127
Tink PRO 1
好像真的不是 bug,感觉没必要这样发帖,会把这产品搞崩的
|
 |
128
djs Jul 10, 2021 via iPhone
现在的论坛的调调跟国内自媒体差不多
|
 |
133
aitaii Jul 10, 2021
google 已经收录了,还是换个方式公关吧
 |
 |
134
QinZhaoHH Jul 10, 2021 1
我从老版本升级上来也是这样,一连就连上了。不过我是在老版本发起连接过,会不会是这个缘故?
|
 |
136
microka Jul 10, 2021
@no1xsyzy 你的结论过于武断了吧,楼主说了「控制端 B 从未连接过被控端 X 」,好家伙到了你这就成了:B 以前连接过 X,只是因为勾选了「保存历史连接密码」,所以才出现后续的 B 不需要输入密码也能直接控制 X 。
除非你是质疑楼主以前在控制端 B 输入过密码连接被控端 X |
|
137
microka Jul 10, 2021 6
爬完楼,感觉事情存在两个可能性:一是真如楼主所述,B 从未输过密码连接 X,软件存在严重安全漏洞;二是楼主此前在 B 端输入过密码成功连过 X,同时软件的「保存历史连接密码」选项为开启,因此才会出现后续的无密码直接远控 X 的情况。
就我本人瞎猜,第一种的可能性不太大,可能是第二种情况。(利申:ToDesk Win + iOS 免费用户) PS. 个人认为,用户发现软件漏洞可优先尝试同官方进行反馈,反馈渠道有官网论坛以及 QQ 群,我本人也在上述渠道反馈过自己使用 ToDesk 中遇到过的问题。 我认为楼主这样发帖会有什么问题呢,就是说你把问题描述了出来,要是大家也不好复现的话,然后发帖人、产品方、以及围观群众各执一词,这样产生的讨论效果是很不理想的。 要是说这个问题在一台全新部署的 Mac 上也能实现无密码直接远控 X,那就是 100%实锤,那这样发帖出来锤 ToDesk 没有任何问题。 说了这么多,并不是想为 ToDesk 产品方在此次的事件处理上做任何维护,只想做个理性讨论,如今网络讨论环境真的不太好,人的情绪很容易被带进去。 |
 |
139
zushi000 Jul 10, 2021
楼主有点武断了,这种标题小心吃官司啊.现在流行的是在肯定句后面打问号.或者加上可能,疑似之类的词语.todesk 这公关能力也太差了.如果对方是竞争对手,哈哈,你们公关水平真的被吊打啊.
|
 |
140
Suuuummer Jul 10, 2021
感觉不是 bug 吧,可能是 mac 问题,可以在 win 上试试能不能复现
|
 |
141
luckbbs Jul 10, 2021
后面连续这么多质疑楼主的贴子
|
 |
142
F281M6Dh8DXpD1g2 Jul 10, 2021 via iPhone
@luckbbs 都是那公司的呗,不是水军就是员工,谁拿钱发帖谁心里明白
|
|
143
luckbbs Jul 10, 2021
这是另一种公关么
|
 |
144
zhengfan2016 Jul 10, 2021
@angkimi 老哥,为什么你的历史回复有 8 成是回复给 todesk 的呢
|
 |
145
oisadfo Jul 10, 2021
最新版 ,也是有个版本号的。一句 “最新版”,一竿子打死人家后续所有版本。
|
 |
146
muzuiget Jul 10, 2021
笑死,公关灾难。
|
|
148
QinZhaoHH Jul 10, 2021
@2le 那你在老版本上有连接过 X 吗。还有我看你说你在三台机器上都登录了同一个 Apple ID,会不会 Apple ID 会有云同步功能,把你其他设备上的数据同步到 B 上了。
|
 |
150
40EaE5uJO3Xt1VVa Jul 10, 2021 1
把这两个帖子都保存成了 pdf 文档,可以给站外人看看,什么叫 欲盖弥彰?
https://www.cowtransfer.com/s/c72391a31e2b4e https://www.cowtransfer.com/s/c3f483011ea648 |
 |
151
ragnaroks Jul 10, 2021
歪个楼,无公网 IP 的情况下,免费的 anydesk,收费的 teamview,应该满足 95%用户需求了,再没有达到 anydesk 的情况下就贸然收费,非常不合适
|
 |
152
dswyzx Jul 10, 2021 1
吃瓜看戏. 主题不能禁止回复,可以下沉,move to 水深火热.
我的账号现在这个时间访问水深火热 https://v2ex.com/go/flamewar 是 302 了 站长拱火水平不错.涉事方公关水平堪忧 看戏者基本上一边倒的偏向用户.这很正常.但有人要是给我扣帽子的话请先结个帐 |
 |
153
zhw2590582 Jul 10, 2021
哈哈,既然没有其他人能复现,感觉不像是 bug,哪怕官方给一个书面一点的回应,都比 @PUBG98k 这个强
|
 |
154
yutou527 Jul 10, 2021
神了,本来就不是什么大问题,官方承认下,修复了就得了,硬是闹成这样。
|
 |
155
FS1P7dJz Jul 10, 2021 3
笑死
终于开始公关了? 1:反馈方式不对,应该直接联系客服 /技术,不应该发帖 2:过于武断,不是 bug,是用户使用不正确 好家伙好家伙 开始浑水摸鱼了 |
 |
156
initdrv Jul 10, 2021
鄙人来个抛砖引玉:
安装电信宽带,然后申请公网 IP,光猫上开启端口转发 自建 DDNS,搭配 FRP,Enable Remote Desktop (Windows) & Turn on Screen Sharing (macOS) 可以满足 自己的远程需求 至于细节,HE.NET 的 DDNS,脚本自动更新 IP NSSM 将 FRP 注册成自启服务(建议 delayed-auto 类型)( Windows ) Launchctl 将 FRP 设置成自启(建议 plist 放在 /Library/LaunchDaemons 目录下)( macOS ) |
|
158
GG668v26Fd55CP5W Jul 10, 2021 via iPhone
@initdrv 有公网 ip 了用 frp 做什么
|
 |
160
429463267 Jul 10, 2021
花生壳内网穿透+微软自带远程桌面
|
 |
161
DavidLeeMr Jul 10, 2021
@zhengfan2016 不,是全部都是给 todesk 的,333 天前的唯一一条还是推荐 todesk 的
|
 |
162
irainsoft Jul 10, 2021
昨天这贴还没回复时就感觉是有问题的,主楼有这么长过程描述的 bug 基本都是有问题。没想到这公关文直接把这贴带起飞了😂 34 楼的那个官文文风都溢出来了😂简直是教科书级的公关反面案例
|
|
163
miaomiao888 Jul 10, 2021
@FS1P7dJz 安全漏洞首先提交厂商,这没毛病吧?如果在厂商解决问题前公开讨论有没可能导致被人恶意利用漏洞?和公关没半毛钱关系。
有些人就是不会动脑还喜欢跟风要么叫嚣卸载要么攻击人品 。。。 |
|
165
FS1P7dJz Jul 11, 2021
|
 |
166
aircargo Jul 12, 2021
再见 todesk,已经卸载了……
|
 |
167
Telegram Jul 13, 2021 1
@Tink #127
真的是谣言一张嘴,辟谣跑断腿。 标题上来就是一句存在安全漏洞,最后发现根本是乌龙,最后扯个小瑕疵给自己下台。 作为 todesk 厂商是真的可怜,回复后台登录日志也被骂,这他妈厂商连你登录日志都不能看?又不是看你系统敏感信息了。 站长也是搞笑,就这么一个不存在的漏洞给人家厂商造成多大影响。被各种平台转发,小厂商可能要直接嗝屁了。是怎么说的出口:“软件如果产生了不符合用户预期的行为,用户就会自然产生疑问。这种疑问可能是 bug 也可能是误会。 但是你们不去解决软件的不符合预期的行为,而是这样来对我持续施压,我对你们公司也觉得非常失望。” 要是我就直接发律师函了,诽谤 |
 |
168
Masterlover Dec 14, 2021
不好意思 来挖个坟 今天我的电脑也被别人连上了 找官方要了日志 持续时间 15 秒 IP 是保加利亚的
|
 |
169
thtznet Mar 30, 2022
ToDesk 的精简版为什么要管理员权限启动?
|
Select Language