· RustDesk Team · 安全  · 11 分鐘閱讀

AnyDesk 安全嗎?加密技術、2024 年資安事件與詐騙手法

AnyDesk 安全嗎?公正檢視其加密技術、2024 年正式環境系統資安事件,以及詐騙集團為何濫用它——並比較開源方案的差異。

AnyDesk 安全嗎?加密技術、2024 年資安事件與詐騙手法

快速解答:是的,對於刻意選擇使用它的人來說,AnyDesk 是一款合法、整體而言相當安全的商用遠端桌面產品。真正值得了解的風險,並不是「AnyDesk 是惡意軟體」——它不是——而是它屬於閉源軟體、預設透過雲端仲介連線、曾在 2024 年發生重大資安事件,並且是詐騙集團最愛濫用的工具之一。以下是一份公正、附有資料來源的完整說明。

簡短解答

AnyDesk 使用標準且備受肯定的加密技術來保護連線,並提供你所預期的帳號保護機制。全球的服務台與企業每天都在使用它,且大多相安無事。有兩項但書會影響你的判斷:首先,你信任的是一個專有用戶端,而且預設情況下連線是透過 AnyDesk 自家的雲端進行仲介,因此你無法稽核程式碼,只能繼承廠商的營運安全性——這一點在 2024 年不再只是理論上的疑慮。其次,也更可能影響一般使用者的是,AnyDesk 是遠端存取詐騙中最愛用的道具之一。這兩點都不代表安裝它不安全;但都會影響你該如何使用它。

AnyDesk 如何保護你的連線安全

根據 AnyDesk 官方的安全文件,連線是以搭配 AEAD 的 TLS 1.2 進行保護,並使用 RSA-2048 非對稱金鑰交換來驗證端點、防範中間人攻擊,再加上 256 位元 AES 傳輸加密,並透過臨時金鑰交換提供完美前向保密。在帳號方面,AnyDesk 針對無人值守存取支援雙重驗證(TOTP)、可限制允許連線對象的存取控制清單/許可清單,以及加鹽密碼雜湊。(AnyDesk 部分文件提及較新版本的 TLS;請以目前的官方頁面為準,並自行查證細節。)

這些都是穩健、符合業界標準的防護措施——本質上與其他認真經營的競爭對手所採用的技術相當。就傳輸層而言,這裡沒有什麼令人擔憂之處。真正值得深究的問題在於信任模型人為行為,而非加密套件本身。

2024 年 AnyDesk 資安事件:實際發生了什麼事

2024 年初,AnyDesk 公開揭露了一起影響其正式環境系統的資安事件。根據 Infosecurity Magazine 以及 Akamai 資安分析師的報導,攻擊者取得了內部基礎設施的存取權限,並獲取原始碼與程式碼簽署相關資料。根據 AnyDesk 官方說法,其應對措施包括委託外部進行鑑識調查、撤銷並更換與安全相關的憑證、推送重新簽署的用戶端版本,並基於預防措施重設網頁入口網站密碼。

平心而論,AnyDesk 表示終端使用者裝置並未受到影響,且其系統的設計本就不會儲存能讓攻擊者連上客戶機器的私密金鑰、權杖或密碼。當時各方報導的確切日期與數字略有出入,因此請以 AnyDesk 官方公告與中立媒體報導為準,而非僅參考單一摘要(包括本文在內)。

誠實的結論並不是「AnyDesk 特別不安全」。每一家主要的遠端存取廠商都有各自的事件紀錄。真正的重點在於廠商集中風險:當第三方負責營運仲介你連線、並保有你帳號資料的基礎設施時,該處一旦遭到入侵,就是一次你既未曾選擇、也無力預防的資安事件。

更大的風險不是程式漏洞,而是詐騙

對大多數個人使用者而言,與 AnyDesk 相關最大的危險,其實與 CVE 漏洞編號毫無關係,而是社交工程。美國聯邦調查局(FBI)曾提出警告,指出技術支援詐騙集團經常誘導受害者安裝遠端桌面軟體,再利用取得的存取權限盜刷金融帳戶。AnyDesk 在這類詐騙手法中頻繁出現,也正因為它如此常被拿來當作犯罪工具,AnyDesk 官方才會發布濫用防範指南

為什麼偏偏是 AnyDesk?因為它免費下載、幾秒鐘就能安裝完成,而且——關鍵在於——被控制的一方不需要建立帳號。這種低門檻對於合法的技術支援來說是項優點,對詐騙集團而言卻是天上掉下來的禮物:他們會透過電話或電子郵件聯繫目標對象,捏造一個緊急的「問題」,再一步步引導對方授予完整的遠端控制權。

這正是聳動標題中最常被忽略的公平之處:**這是使用風險,而非 AnyDesk 的漏洞。**完全相同的手法用在 TeamViewer、Chrome Remote Desktop 或 RustDesk 上同樣行得通。如果你甘願把鑰匙交給電話那頭的陌生人,再強的 AES 加密也保護不了你。如果你想了解防範對策,我們另外寫了一篇如何避免遠端桌面詐騙,同樣的道理也適用於Chrome Remote Desktop 是否安全這個問題。

閉源與雲端仲介:信任的問題

這正是 AnyDesk 與 RustDesk 兩種模式分道揚鑣之處——差別不在加密技術是否夠好,而在於你必須憑信任接受哪些事情

AnyDesk 是專有軟體。你無法閱讀其用戶端的原始碼、無法自行建置,也無法獨立驗證它實際的行為;你只能信任 AnyDesk,相信該執行檔的運作方式與宣稱相符。而且預設情況下,你的連線是透過 AnyDesk 的雲端進行仲介,因此該基礎設施的可用性與安全性完全掌握在廠商手中——2024 年的事件正說明了這一點。AnyDesk 較高階的方案提供地端部署設備,對於願意額外付費的用戶來說,能在一定程度上縮小這項落差。

在這兩點上,RustDesk 都選擇了截然相反的出發點。由於它是採用 AGPL 授權的開源軟體,用戶端可供稽核與自行建置,因此你無需盲目信任一個專有的二進位程式。而且,由於你可以自行架設 ID/集合伺服器與中繼伺服器,仲介你連線的基礎設施便歸你所有,而非掌握在第三方手中——這正是 2024 年事件所具體印證的廠商集中風險敞口。這也能支援資料主權設計,但端點所在位置、資料保留政策,以及法律義務等,仍需要自行評估。

同樣公平地說:這只是轉移了信任,而非消除了信任。正因為程式碼是公開的,RustDesk 本身的缺陷同樣公開可見,因此請持續追蹤最新版本與漏洞紀錄。而且,可稽核、自行架設的基礎設施只是一個起點,而非保證:連線流量仍會在端點之間直接傳輸,而伺服器的修補更新責任也在於你自己。

那麼,AnyDesk 到底安全嗎?

就刻意且合法的用途而言:答案是肯定的——這是一款成熟的產品,具備標準等級的加密技術與合理的帳號控管機制,每天都有大量使用者安全地使用它。你可以將它視為相對安全,因為現有紀錄支持這樣的結論。

而這些但書才是誠實的部分。它預設的雲端仲介、閉源模式,意味著你信任的是 AnyDesk 的營運安全性,而這項安全性在 2024 年確實遭受了實質打擊。此外,它在現實世界中最常見的危害,來自詐騙集團利用它「容易安裝」這項特性——這是人的問題,而非加密技術的問題。如果這些取捨讓你感到不安,開源、可自行架設的替代方案能改變整個保證基礎:換來可稽核的程式碼與由你自行掌控的連線仲介,代價則是你得自行架設並維運伺服器。

無論你選擇哪一款工具,最能防範重大損害的原則,也是成本最低的做法:絕對不要因為某個主動聯繫的人提出要求,就安裝遠端存取軟體。

Frequently asked questions

AnyDesk 安全嗎?

就合法用途而言,AnyDesk 是一款成熟、整體而言相當安全的商用遠端桌面工具。它使用標準的傳輸層安全技術為連線加密,並提供雙重驗證與存取控制清單功能。有兩點需要留意:它是閉源軟體,且預設透過雲端進行連線仲介;而它在現實世界中最大的風險,並非軟體本身的缺陷,而是技術支援詐騙集團誘騙受害者安裝它。

AnyDesk 曾遭駭客入侵嗎?

2024 年初,AnyDesk 揭露了一起影響其正式環境系統的資安事件,攻擊者在此事件中取得了原始碼與程式碼簽署相關資料。AnyDesk 隨後撤銷了憑證、推送重新簽署的用戶端程式,並重設網頁入口網站密碼。該公司表示並未有終端使用者裝置受到影響。確切的影響範圍與時間點,請以 AnyDesk 官方公告及中立媒體報導為準。

為什麼詐騙集團愛用 AnyDesk?

由於 AnyDesk 免費、安裝快速,且被控制的一方不需要建立帳號,因此它成為技術支援詐騙集團的愛用工具——這些集團會透過電話或電子郵件聯繫受害者,誘騙對方授予遠端存取權限。這屬於使用風險,而非 AnyDesk 本身的漏洞——同樣的社交工程手法在任何遠端桌面工具上都行得通,包括 RustDesk 在內。

AnyDesk 的加密技術安全嗎?

根據 AnyDesk 的安全文件說明,其採用搭配 AEAD 的 TLS 1.2、RSA-2048 非對稱金鑰交換,以及 256 位元 AES 傳輸加密,並具備完美前向保密機制。這些都是業界標準的防護措施。但需要留意的是,你所信任的是一個閉源用戶端,且預設情況下連線是透過 AnyDesk 的雲端進行仲介,因此你依賴的是廠商的營運安全性,而非能夠自行稽核程式碼。

返回部落格