· RustDesk Team · 安全 · 12 分钟阅读
AnyDesk安全吗?加密机制、2024年安全事件与诈骗风险
AnyDesk安全吗?本文客观分析其加密机制、2024年生产系统安全事件,以及诈骗分子为何频繁利用它——并进一步比较开源方案与之的差异。

快速回答:是的,对于主动、正当使用它的人来说,AnyDesk是一款合法且整体安全的商业远程桌面产品。真正值得了解的风险,并不是AnyDesk本身是恶意软件——它不是——而是它属于闭源软件、默认通过云端中转连接、在2024年发生过一次引人关注的安全事件,并且是诈骗分子最爱滥用的工具之一。以下是基于可靠信息来源的客观分析。
简要回答
AnyDesk使用标准且广受认可的加密技术来保护会话,并提供你所期望的账户保护措施。全球的技术支持团队和企业每天都在使用它,运行状况良好。有两点需要纳入你的决策考量:第一,你信任的是一个专有客户端,并且默认情况下,你的连接是由AnyDesk自家的云端负责中转的,这意味着你无法审计代码,只能依赖厂商的运维安全能力——这一点在2024年已不再只是纸上谈兵。第二,也是更可能影响普通用户的一点:AnyDesk是远程访问诈骗中最常被利用的道具之一。这两点都不意味着安装它不安全;但两者都决定了你应当如何使用它。
AnyDesk如何保护你的会话安全
根据AnyDesk官方安全文档,其会话通过带有AEAD的TLS 1.2协议进行保护,采用RSA-2048非对称密钥交换来验证端点身份、防范中间人攻击,并使用256位AES传输加密,同时通过临时密钥交换实现完美前向保密。在账户安全方面,AnyDesk为无人值守访问提供双因素认证(TOTP),提供用于限制可连接对象的访问控制列表(白名单),并采用加盐密码哈希机制。(AnyDesk的部分资料提及了更新版本的TLS协议;请以其官网当前页面为准,并自行核实具体细节。)
这些都是扎实、符合行业标准的防护措施——与其他正规竞争对手所采用的技术在本质上不相上下。就传输层而言,这里没有什么值得担忧的地方。真正值得探讨的问题在于信任模型和人为因素,而不是加密套件本身。
2024年AnyDesk安全事件:究竟发生了什么
2024年初,AnyDesk公开披露了一起影响其生产系统的安全事件。根据Infosecurity Magazine以及Akamai安全分析师的报道,攻击者获取了内部基础设施的访问权限,并窃取了源代码和代码签名材料。据AnyDesk官方说法,其应对措施包括聘请外部取证团队、吊销并更换安全相关证书、推送重新签名的客户端版本,以及出于预防目的重置网页门户密码。
平心而论,AnyDesk表示没有终端用户设备受到影响,其系统在设计上不会存储可让攻击者连接客户设备的私钥、令牌或密码。当时各方对具体日期和数字的报道并不一致,因此请以AnyDesk官方公告和中立媒体报道为准来核实细节,而不要只依赖包括本文在内的任何单一信息来源。
客观的结论并不是”AnyDesk格外不安全”——每一家主流远程访问厂商都有过安全事件的历史。真正的重点在于厂商集中化风险:当第三方运营着为你的会话提供中转、并保存你账户数据的基础设施时,一旦该基础设施遭到入侵,这就是一次你无从选择、也无法阻止的安全事件。
更大的风险不是漏洞,而是诈骗
对大多数个人用户来说,与AnyDesk相关的最大危险和任何CVE漏洞都没有关系,而是社会工程学攻击。美国联邦调查局(FBI)已发出警告:技术支持诈骗分子惯常引导受害者安装远程桌面软件,再利用由此获得的访问权限掏空受害者的资金账户。AnyDesk在这类骗局中频繁出现,也正因为它太容易被用作作案工具,AnyDesk官方才专门发布了防滥用指南。
为什么偏偏是AnyDesk?因为它可以免费下载、几秒钟就能装好,而且——最关键的是——被控制的一方根本不需要注册账号。这种低门槛,对正当的技术支持来说是一项优点,对诈骗分子来说却是一份大礼:他们打电话或发邮件联系目标,编造一个紧急的”问题”,再一步步引导对方交出完整的远程控制权限。
这正是那些耸人听闻的标题所忽略的公平之处:**这是一种使用层面的风险,而不是AnyDesk的漏洞。**同样的伎俩用在TeamViewer、Chrome Remote Desktop或RustDesk身上照样奏效。如果你心甘情愿地把钥匙交给电话那头的陌生人,再强的AES加密也保护不了你。如果你想了解具体的防范方法,我们在另一篇文章中做了详细介绍,参见如何避免远程桌面诈骗;同样的道理也适用于Chrome Remote Desktop是否安全这个问题。
闭源与云端中转:信任问题
这正是AnyDesk与RustDesk两种模式分道扬镳之处——分歧不在于加密是否足够可靠,而在于你需要凭信任接受什么。
AnyDesk是专有软件。你无法查看其客户端源代码,无法自行编译,也无法独立验证它的实际行为;你只能信任AnyDesk,相信这个二进制程序确实如宣传所说的那样运作。而且默认情况下,你的会话是通过AnyDesk的云端进行中转的,因此该基础设施的可用性和安全性都由厂商自行掌控——2024年的事件就是明证。AnyDesk的更高级套餐提供本地部署设备,为愿意为此付费的用户缩小了这一差距。
在这两点上,RustDesk都选择了截然相反的出发点。由于它基于AGPL协议开源,客户端可供审计、可自行编译构建,因此你无需盲目信任一个专有的二进制程序。而且,由于你可以自行部署ID/中转服务器与中继服务器,为你的会话提供中转的基础设施便归你所有,而非掌握在第三方手中——这正是2024年事件所具体印证的厂商集中化风险敞口。这也可以支撑起数据主权方面的设计,不过端点所在地、数据保留策略以及法律义务等问题,仍然需要你自行评估。
同样公平地说:这只是转移了信任,而非消除了信任。正因为代码是开放的,RustDesk自身的缺陷同样是公开的,因此请持续关注最新版本发布以及漏洞记录。而且,可审计、自行部署的基础设施只是一个起点,而非保证:会话流量仍然在端点之间直接传输,服务器也需要由你自行打补丁维护。
那么,AnyDesk到底安全吗?
对于主动、正当的使用场景而言:是的——它是一款成熟的产品,拥有标准级别的加密和合理的账户控制机制,每天都有大量用户在安全地使用它。可以将其视为一款合理安全的产品,因为现有的记录也支持这一判断。
但这些限定条件,才是需要如实说明的部分。它默认采用云端中转、闭源的模式,意味着你要信任AnyDesk的运维安全能力,而这项能力在2024年确实受到过实质性冲击。同时,现实中最常见的危害,来自诈骗分子利用它易于安装这一特点——这是人为因素造成的问题,而不是密码学层面的问题。如果这些权衡取舍让你感到不安,开源、可自行部署的替代方案会带来不同的信任基础:可审计的代码、由你自己掌控的连接中转,代价是需要自行运维服务器。
无论你最终选择哪款工具,最能避免损失的那条规则,往往也是成本最低的:绝不要因为某个主动联系你的人提出要求,就去安装远程访问软件。
Frequently asked questions
使用AnyDesk安全吗?
就正当用途而言,AnyDesk是一款成熟且整体安全的商业远程桌面工具。它使用标准的传输层安全协议对会话进行加密,并提供双因素认证和访问控制列表功能。需要留意的两点是:它是闭源软件,且默认通过云端中转连接;而它在现实中最大的风险并非软件漏洞,而是那些诱骗受害者安装它的技术支持诈骗分子。
AnyDesk被黑客攻击过吗?
2024年初,AnyDesk披露了一起影响其生产系统的安全事件,攻击者在此次事件中获取了源代码和代码签名材料。AnyDesk随后吊销了相关证书、推送了重新签名的客户端,并出于谨慎重置了网页门户密码。官方表示没有终端用户设备受到影响。具体的影响范围和时间线,请以AnyDesk官方公告及中立媒体报道为准进行核实。
诈骗分子为什么喜欢用AnyDesk?
由于AnyDesk免费、安装迅速,且被控制一方无需注册账号,它成为技术支持诈骗分子的首选工具——他们通过电话或邮件联系受害者,诱导其授予远程访问权限。这是一种使用层面的风险,而非AnyDesk本身的漏洞——同样的社会工程学伎俩用在任何远程桌面工具上都行得通,包括RustDesk。
AnyDesk的加密安全吗?
根据AnyDesk的安全文档,其采用了带AEAD的TLS 1.2协议、RSA-2048非对称密钥交换,以及256位AES传输加密,并具备完美前向保密性。这些都是符合行业标准的防护措施。需要注意的是,你需要信任一个闭源客户端,并且默认情况下由AnyDesk的云端负责中转连接,因此你依赖的是厂商的运维安全能力,而无法自行审计代码。



