本文分析了远程控制软件的安全性,探讨了 ToDesk、RayLink、TeamViewer 和 Splashtop 四款主流软件的安全机制。文章指出安全威胁主要来自社会工程学攻击和技术漏洞利用,如冒充公检法诈骗和恶意软件植入。通过对各软件的功能对比,发现 ToDesk 和 Splashtop 在企业级安全认证和功能上表现较好,而 TeamViewer 虽成熟但存在商业限制和过往漏洞。文章强调远程控制本身是安全的工具,关键在于用户是否合规使用,并提供了包括多因素认证、最小权限原则在内的具体安全预防建议,旨在帮助用户在远程办公中平衡效率与安全。
近期,远程控制话题再次引起广泛关注。据相关新闻报道,不少不法分子利用远程控制软件实施网络诈骗,致使用户钱财受损,进而激进地将矛头指向远程控制软件,让这些帮助人们实现远程协作的工具'变了味'。其实,在正常合规的使用场景下,正确使用远程控制软件是十分安全的。
2023 年 6 月 6 日,美国 CISA(网络安全和基础设施安全局)、NSA(国家安全局)、FBI(联邦调查局)等多家机构联合发布了《保障远程访问软件安全指南》。该报告强调了远程访问软件为 IT/OT(信息技术/运营技术)团队提供了灵活的管理方法;合法使用远程访问软件可以显著提高管理效率。然而,随着网络攻击手段的升级,用户对于远控软件的安全疑虑也在增加。
本期内容将结合真实案例、技术报告和国内外远控软件的安全实测进行具体分析,深入探讨远程控制软件到底安不安全,以及各大厂商是如何构建安全防线的。
[图片:远程控制软件安全主题示意图]
为了更清晰地理解远控过程中的潜在风险,我们需要通过现实案例来剖析安全问题的发生路径。
案例一:冒充公检法诈骗 2022 年 12 月,王女士接到自称是'湖北警方'的电话,对方声称其名下银行卡账户涉嫌违法,并发送了伪造的通缉令等'法律文书',要求配合调查,否则将面临牢狱之灾。王女士信以为真,按照对方指引下载了一款远程控制手机软件。正当她试图进行转账操作时,幸得民警及时赶到,才避免了财产损失。
案例二:企业财务信息窃取 据执法部门爆料,不少财务人员陆续'中招'。原因是习惯性点开了 QQ、微信群友发来的'电子发票'压缩文件,导致电脑被植入木马。随后电脑不受控制,鼠标自行移动去查看聊天记录,实现截屏、录屏等操作。黑客在窃取信息后扮演'老板','指挥'公司财务进行违规转账。
案例三:TeamViewer 漏洞披露 一个名为 Gellin 的 GitHub 用户在 TeamViewer 中披露了一个严重漏洞。该漏洞可能允许客户端(共享其桌面会话)在未经许可的情况下控制查看者的计算机。Gellin 还发布了一个概念验证(PoC)代码,可注入的 C++ DLL,利用'裸内联钩接和直接内存修改来更改 TeamViewer 权限'。这一事件表明,即便是成熟的商业软件也可能存在底层逻辑漏洞。
简单总结,威胁远控安全的主要路径有两条:
理清楚后是否瞬间清晰?我们总认为自己不会犯那么低级的错误,但是道高一尺魔高一丈,不要低估不法分子的'智慧',他们总是能找到契合你的信任点,让你卸下防备后做出冲动的行为。同时,我们也清楚地认识到,远程控制软件在这个过程中,只是一个软件工具,例如腾讯 QQ、微信、支付宝等,这些日常与我们密切相关的软件都曾被有心之人利用过。片面化地归咎软件责任,不如正确认识错因后积极改正。
再者,各家远程控制软件也在为此努力,为用户创建多重安全防御机制,在非人为泄密情况下一般是不会出现安全性问题。
[图片:安全威胁路径流程图]
本次分析选取国内、国外各两款主流软件为例,深入看下它们在远程控制安全设置和保障用户隐私方面的具体措施。
ToDesk 安全系数较高,被视为国产远控零负面代表之一。它采用端到端加密技术(E2EE),具备设备认证、双因素身份认证(2FA)、可控文件传输、黑白名单管理、日志记录等安全保障措施。支持安卓、苹果、Windows、Mac、Linux 五大主流平台。
ToDesk 获得了统信、中科方德、麒麟软件、三级等保、ISO27001 信息安全管理体系、ISO9001 质量管理体系等多家权威机构认证,确保远程连接全流程安全可控。这意味着其开发流程、数据处理和存储均符合国际高标准。
值得一提的是,ToDesk 在安全监控上有一项超实用的功能——自动隐藏私密信息。该功能会自动识别金融类软件而进行黑屏处理。例如你在打开支付宝、银行等涉及金融类的软件后,界面会自动开启屏幕隐藏,主控端无法获取用户私密信息,选择退出此类软件则恢复正常。这能够有效防止敏感信息被不法分子利用。
此外,如果你开启 ToDesk 投屏模式,凡是银行软件页面都会有提示警告:'检测到正在录屏,注意个人信息安全',或者出现人脸视频核实真身。这种主动防御机制极大地增加了非法入侵的难度。
在保障用户隐私方面,还可以使用 ToDesk隐私屏功能。在远程过程中拉起黑屏壁纸进行遮挡,防止远程内容被第三者窥视。无论你是搬砖还是玩游戏,别人都无法察觉当前屏幕的具体内容,有效保护个人隐私。
[图片:ToDesk 隐私屏功能演示]
同是国产软件的 RayLink,是一个跨界选手。听说背后的公司做的是视觉行业,所以该软件更适应开发设计场景,是瑞云科技旗下云渲染品牌。
RayLink 的界面干净无广告,安全设置相对较少,主要提供简单的密码更新、自动锁定屏幕和客户端锁定功能。隐私方面可以开启防窥模式,和 ToDesk 隐私屏功能一致,避免隐私泄露。关于安全方面的描述较少,目前已通过 ISO27001 数据中心安全认证。
RayLink 最大的特点是免费,目前支持 Windows、Mac、iOS、Android 操作系统。对于设计师群体来说,其在高画质和低延迟方面的表现优于传统远控软件,但在企业级安全审计功能上略逊于 ToDesk。
[图片:RayLink 界面展示]
说到海外远控软件就不得不提到大哥 TeamViewer(简称 TV)。无论产品性能还是用户覆盖率都稳居世界前列。
在安全性方面,TV 采用端到端加密,在启动远程会话之前查看传入连接来源,防范恶意攻击。通过 TeamViewer Remote 可以进行设备监控,在需要注意的时候发出警报。通过自动评估检测第三方软件和操作系统导致的补丁,使系统始终维持最新的安全状态。
就个人经历而言,TV 曾爆出漏洞事件,害得我们把公司所有服务器都排查和卸载了一遍,后面开始转用国产软件。另外,境外软件收费都比较贵,TeamViewer 也不例外。免费用户有设备限制,想多控几台设备都要花个大几千不等。一般自己连还可以;如果账户多的情况下,使用起来也会出现不稳定,容易被检测为商业限制而频繁断连。这对于中小企业来说是一个成本考量因素。
[图片:TeamViewer 安全设置界面]
Splashtop 在欧美日很流行,国内知名度相对低一点,基本上没曝过安全漏洞问题,自称是'下一代安全远程服务解决方案'。
Splashtop 提供内置安全功能,例如单点登录(SSO)、多因素身份验证(MFA)、设备身份验证和自动基础架构更新。采用 HTTPS、TLS 等行业标准安全协议,对通过端口 443 传递的数据进行加密,确保传输数据安全。提供对托管设备的安全远程访问,避免了通常与 VPN 相关的安全漏洞。还启动了安全漏洞披露计划,组建了一支由网络安全和合规领域知名专家组成的团队,进一步强化平台的防御能力。
用 Splashtop 访外网应该没啥大问题,使用前需要在远程的计算机上安装 stream。体验过企业版,移动端功能项操作很丝滑,几乎没什么延迟。缺点就是邮件注册真的特别麻烦,啥都要邮箱验证才能操作,验证程序太多,就像剥洋葱一样,懒癌真的会逼疯。但对于追求极致安全的企业用户,其合规性是值得肯定的。
[图片:Splashtop 安全架构]
今年 6 月,美国多家机构联合发布的《保障远程访问软件安全指南》可以说来得相当及时。报告中说明了远程访问/控制软件和工具是用于维护和改进 IT、操作技术 (OT) 和工业控制系统 (ICS) 服务的广泛功能;它们为组织远程监督网络、计算机和其他设备提供了一种主动和灵活的方法;合法使用远程访问软件可以提高 IT/OT 管理的效率。
对于我们用户来说,一款安全可靠的远程控制软件是安全远程办公的必备要素,合法合理使用能够帮助解决很多远程操作和支持工作。注意这里强调的是合理合法。然后就国内外远控软件的安全机制对比结果,ToDesk 和 Splashtop 安全层级较高,远控功能全面且安全稳定。单就个人体验来说,Splashtop 受限挺多,付费又不忍割肉,而且国内某些企业已经禁用了境外远控软件。国内则推荐 ToDesk,关心用户体验,有很多安心的实用功能。
总之,远程控制软件是安全的,使用者有没有安全使用才是关键。这里引用国家反诈中心的'三步一多'提醒:未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。
对于企业用户,除了选择安全软件外,还应建立以下规范:
[图片:安全远控检查清单图表]
远程控制技术的普及是不可逆转的趋势,它为现代工作和生活方式带来了极大的便利。虽然存在安全风险,但通过选择合适的软件、配置正确的安全策略以及提高用户的安全意识,我们可以有效地规避绝大多数威胁。希望本文的分析能帮助大家更好地理解远程控制软件的安全机制,在享受便捷的同时,守护好自己的数字资产安全。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
