Security of Teamviewer-Everyone can be your teammate. However, your 'teammates' could be everyone.
前言
當然,遠端控制電腦的軟體其實有許多種,例如Chrome遠端桌面、微軟遠端桌面、以及今天要介紹的Teamviewer...等,然而為何選擇Teamviewer做介紹而不選擇前面兩者呢?當然某部分原因是,目前後者全球下載量約20億,但事出必有因,會有那麼多下載量的原因是什麼?又或者其他軟體差了些什麼? 可請讀者點進去超連結,並比較可發現,目前TeamViewer仍是應用最廣、提供服務較多元的遠端控制軟體。下段介紹TeamViewer的一些簡介。
TeamViewer介紹&探討安全性
首先,不論下載的是商用版或免費版,系統起初都會給你一組他隨機生成的ID,而密碼可選6-10位數的一次性隨機密碼(每次關掉都會產生不同密碼),而操作方面則是A和B兩台電腦都下載完,並生成帳密之後,於A電腦輸入B電腦的ID以及密碼,而B電腦則可以清楚呈現A電腦使用者的任何動作。當然,這算是對B使用者的一個保障,畢竟沒有人希望自己電腦被遠端操作時,卻渾然不覺的。若是要以該軟體和其他同事談話,也會有聊天視窗,並可透過加密,使得中間人攻擊無法奏效。但是這也潛在一個問題,當你在摸魚的時候,你也不會希望自己的畫面一絲不掛的呈現在辦公室的電腦,況且雖然辦公室電腦是你在遠端操控,但你也不會知道辦公室是否有側錄器會透過類比漏洞,完美呈現你遠距上班的一舉一動。然而,上述提到的隱私問題仍處於建立在這個遠端軟體是正常運作、無資安危險的時候。
註:若是讀者想了解TeamViewer更詳細介紹,可點Title的超連結
以人類角度探討安全性
那什麼狀況是有資安危機呢?每次使用完畢,把TeamViewer關掉不就會隨機產生密碼了嗎?這樣子怎麼可能還會被駭?
首先,以人類的性格而言,實在不可能時時刻刻都守在電腦前面,不會不小心讓連線中斷,又得跑一趟公司並重新輸入隨機生成的密碼。所以也就有所謂的白名單(名單內的是可信任的,所以是名單內有要求連線才放行),以及為了怕麻煩就取消隨機生成密碼的選項改用固定密碼,並加上雙因素認證。然而當我們仔細思考一下,每次登入都採用隨機密碼機制就如同大海撈針般(ex:5*+H9x-Q這種密碼),除非運氣真的爆棚,不然怎麼可能猜得中;那採取固定密碼加上雙因素認證就猶如兩道難度較高的鎖而已,但並非堅不可摧。那當我們自己都把保護我們的護盾唾棄時,被駭客們的攻擊也只是早晚的事情。然而,就只是單純密碼有被盜的危險而已,那大不了我們隨手關TeamViewer、然後TeamViewer不要改成固定密碼就好了嘛!但是...誰敢保證一定做得到啊!??
以實例探討安全性
很遺憾的是,事情並非我們所想的如此簡單,而底線的那兩個方法確實是可以提升使用遠端控制軟體的資訊安全,但今天要和大家介紹一個TeamViewer之前不願意承認,甚至還說網路謠傳是不實的漏洞--CVE-2020-13699 (想更深入了解的讀者可以點這邊),而這個漏洞大約是在2020年7月底被發現,而超連結的那篇文章也獲得了NCC的證實以及引用。簡單來說,該軟體誤用了某個URI,導致駭客可以在這些誤用的URI中植入惡意程式碼,並開啟遠端的SMB分享並與其進行對話,甚至糟糕點,資安學過的Heartbleed 、DDoS都派的上場了。然而,就如同文中提到的,最終駭客也能透過暴力攻擊,挖出你的密碼。最終,TeamViewer也在了解事情的嚴重性之後,選擇妥協並將版本更新改掉這個漏洞。而在更早之前(2016),TeamViewer也曾被駭客入侵到,甚至有傳聞說後台被駭客攻陷,導致許多使用者個資遭竊,甚至信用卡被盜刷等等情事,但該公司卻始終對這件事情抱持否認的態度,然而隨著時間推移,真相究竟為何,恐怕我們也不得而知。
留言
張貼留言