软件|无视用户安全,ToDesk再次出现严重漏洞!

软件|无视用户安全,ToDesk再次出现严重漏洞!

文章图片

软件|无视用户安全,ToDesk再次出现严重漏洞!

文章图片


近日 , 有媒体针对多平台远程控制软件ToDesk发出紧急安全提醒 , 并曝出该软件存在安全隐患 。 事情的起因源于一网友称其所在公司发现了ToDesk存在严重漏洞风险 , 全公司正在紧急排查卸载ToDesk 。 并且该网友将此信息反馈至ToDesk工作人员 , ToDesk工作人员直接否认存在该问题且并未对用户所提的问题进行详细排查 。

与此同时 , 知名IT安全专家李白也在其微信公众号上发表文章 , 曝出ToDesk存在严重的供应链攻击风险 。 攻击者会通过ToDesk远控受害电脑 , 传送攻击工具和样本 , 使用终端命令运行一些有签名的更新程序 , 将受害机器注册激活被攻击者控制 , 在云端下发命令执行 , 调用执行样本 。
【软件|无视用户安全,ToDesk再次出现严重漏洞!】据悉 , 李白是华为HCIE RS、H3CIE Security博主 , CSDN网络领域优质创作者、华为云享专家、阿里云博客专家. 某乙方安全大厂攻防工程师 。


此次安全漏洞事件并非ToDesk第一次出现 , 早在2021年v2ex就传出ToDesk存在安全漏洞 , 可无密码远程控制设备 , 据猜测是ToDesk 远控分享链接被爬虫抓取 , 任何人拿到带密码的邀请链接就可以远控 。 对于大多工作具有一定保密性的人来说 , 这无疑会大大增加工作资料泄露的风险
只不过和这次事件操作如出一辙 , 那时ToDesk对“安全漏洞事件”同样进行了否认 。
很想问一句ToDesk公司 , 用户的安全真的就那么不重要吗!难道做SaaS服务最基本的不就是保障安全吗?有网友表示 , “这次倒是真的给公关了 , 但是又没完全公关 。 结果嘛反正帖子是删了 , 安不安全没人知道 。 ”

当然 , 也有网友在微博中透露 , 近期ToDesk有一段时间无法使用是因为在攻防演练中爆0-day , 致使其总服务器被拿下 。

 相信很多人会问 , 0-day是什么?0-Day漏洞 , 是指已经被发现 , 但是还未被公开 , 同时官方还没有相关补丁的漏洞;通俗的讲 , 就是除了黑客 , 没人知道他的存在 , 其往往具有很大的突发性、破坏性、致命性 。 简单来说 , 就是直接将自己不为人知而又无法弥补的弱点暴露给敌人 , 一旦被攻击 , 就是一招致命 。
可能有些人还没听说过ToDesk这款软件 , 下面让我们一起先来了解一下 。 ToDesk是一款由国内一家原本做游戏加速器的公司研发的远程控制软件 , 在这款软件诞生之前 , 其开发团队在2020年疫情袭来之时一直不断地寻求高效的远程控制软件辅助办公 , 但试用过市面上各种软件之后效果并不尽如人意 , 于是决定自行开发一款远程控制软件 , 因此便有了ToDesk的诞生 。
说起来 , ToDesk诞生至今也不过仅仅两年时间 , 本身ToDesk开发团队的老本行就是游戏加速器 , 作为工具类产品 , 其本身技术门槛并不高 , 基础的技术路线也比较成熟和简单 , 侧重点更偏向于网络加速和提升用户体验 , 因而相较于远程控制领域的老牌 , 在某些方面的经验乃至技术层面还有所欠缺 。
但无论如何 , 从事SaaS服务行业 , 就必须将信息安全放到首位 , 及时发现问题解决问题 , 一味的搪塞推诿无助于事情的解决 , 反而容易丧失用户信任度 。 所以 , 在此也呼吁大家 , 无论是远程控制软件 , 还是日常我们使用的其他涉及个人隐私的物品 , 还是要认准靠谱的大厂、大品牌!