一、引言
远程控制软件的兴起与普及,让跨设备办公、远程协作变得触手可及。只需一台设备、一组账号密码,便可随时随地访问另一端的设备。但另一方面,
当你的屏幕画面、文件传输、个人信息在互联网上裸奔时,一次公共WiFi连接、一个第三方插件漏洞、甚至过度宽松的权限设置,都可能让你的私人电脑沦为数据泄露的"重灾区"。
远控技术在带来便利的同时,也潜藏着诸多风险,所以保障用户的利益与信息安全,构建一套严格且可靠的安全标准势在必行。结合各方资料和实测报告,大致可以将“远控安全金标准”归纳为以下四个核心能力:
- 设备授权管理:如何通过设备绑定与权限分层阻断非法接入;
- 远程连接与数据传输:是否实现端到端加密,是否支持文件传输权限管理;
- 隐私安全机制:是否能够对屏幕内容实施隐私遮蔽,是否风险信息即时提醒;
- 主动防诈保护机制:是否具备异常行为感知与高风险操作拦截能力。
本次评测,我们选取了三款主流远控软件:ToDesk、向日葵和网易UU,通过实际操作和功能测试,全面评估它们在安全防护方面的表现。
二、设备授权管理
在远程控制场景中,单一密码验证往往难以抵御潜在威胁。一旦密码泄露,攻击者可以轻易发起未授权连接,带来严重的安全风险。这里面,ToDesk的二次验证功能明显更占优势,通过主设备一键管理授权设备,成为提升远程控制系统安全性的关键措施。
2.1、二次验证
ToDesk
ToDesk二次验证功能通过对访问行为增加一层实时审批,从源头上杜绝了未授权连接的可能,全方位保障用户账户与设备的安全。这种设计能够有效防止未授权访问,确保远程连接仅在明确授权的前提下进行。
开启方式:在客户端此设备处点击黄色区域“待开启二次验证保护”或是【安全设置】内勾选“二次验证保护”。
启用后你的主设备手机会收到60秒的倒计时提醒(关闭/开启都会有提醒),主设备确认开启后原黄色区域就会变成绿色防护的“已开启二次验证保护”,意味着所有与本机的连接都需经过主设备的同意才可建立,即每一次连接都必须通过使用者的同意!
在此基础上,ToDesk将设备类型分为主设备和从设备,用户可以将某一台设备设置为“主设备”,赋予其最高管理权限。如果要绑定主设备,首先,打开手机端ToDesk APP,进入“设置”-“安全中心”,点击“主设备”区域内的“去设置”按钮,系统将弹出验证提示,点击“立即验证”,根据提示输入手机验证码,验证通过后,即可完成主设备绑定。
值得一提的是,基于移动性和实时性的安全考虑,ToDesk特意选定使用手机设备作为主设备,相比电脑和平板,手机作为随身设备,更便于用户在第一时间进行安全确认,进一步降低异常登录风险。用户可以在安全中心内查看和管理主设备信息。如需更换主设备,可在原主设备上发起解绑或更换流程,确保账户始终掌握在本人手中,即便设备遗失或更换新机,也能通过验证机制顺利完成主设备迁移。
开启二次验证后,就再也不会出现电脑被莫名控制。当账号在其他设备(陌生设备)上尝试登录或发起远程连接时,主设备会即时弹出授权请求提示,用户需在60秒内完成确认,否则系统将自动拒绝该请求,确保所有异地登录皆受控。这一机制实现了远程访问行为的实时管控,有效防止账号滥用和非法控制。
这个功能目前只有ToDesk精准的做到位了,向日葵和网易UU暂无,设备管理方面最多也就修改名称和删除设备。
2.2、访问权限设置
ToDesk
其他账号安全访问,可以在【安全设置】-【安全验证】中配置开启其分为允许控制本设备、锁屏验证、非同账号需本设备手动同意。允许控制本设备是远程连接的前提;锁屏验证需要在控制后输入锁屏密码;非同账号的每一次连接发起都要本设备手动点击同意才可以。
以上认证方式都是针对本设备账号的安全防护功能,可以自主勾选来提高安全验证梯度。
并且每次远程请求发起,可以单独选择是否允许控制方访问声音、键鼠、文件和摄像头,或者直接拉黑该设备/账号的所有连接,访问范围控制几乎都有涉及。
向日葵
在实测过程中,向日葵客户端提供了控制方与被控方双重验证功能,点击右上角菜单 → 设置 → “安全”选项卡,勾选“识别码远控本机时,需校验验证码并得到本机同意”以启用双重验证。作用类似于ToDesk的非同账号需本设备手动同意。
打开后,当控制方发起远程请求时,被控方会收到弹窗提示,弹窗中展示本次连接的请求详情,用户可选择“接受”或“拒绝”,并可单独授权或禁止“控制权”“剪切板同步”“文件传输”等权限。
网易UU
暂时没有提供安全验证机制,这里不再展开。
2.3、黑/白名单功能
设备黑白名单功能可限制远程连接设备的访问来源,是防止未授权设备入侵的关键手段之一。
ToDesk
ToDesk在安全设置中支持黑、白名单管理,在客户端“高级设置 -> 安全设置 -> 黑白名单管理”界面开启,配合二次验证,可以精确指定允许/禁止的账号和设备,加强了登录验证。
向日葵
向日葵提供网络层面的访问控制功能,可以添加远程黑名单/白名单。用户可以手动添加允许或禁止访问的IP地址,并且多加了一个“勿扰时段”。
网易UU
网易这边可能更注重基础远程场景,在设备、权限和黑/白名单方面是空白的,没有相关功能。
三、远程连接与数据传输
3.1、身份认证强度
在远程控制场景中,账号安全认证是远控安全的第一道防线,身份认证强度直接决定了攻击者的入侵门槛。接下来,我们将评估各平台支持的认证方式及其实用性。
ToDesk
ToDesk 提供了手机号码、手机验证码、邮箱、微信、APP 五种登录方式,几乎涵盖了当下主流的登录验证手段,另外,其在识别到风险时还要求用户提供两种不同的身份验证方式,如密码加短信验证码或微信扫码,确保操作确实由本人执行,从而有效防止账号被盗用或未经授权的访问。
我个人经常用的是 APP 扫码登录,操作简单快捷,只需轻轻一扫,即可完成身份验证。而且,一键退出登录后,立即切断远程连接权限,确保设备控制权牢牢掌握在你手中。
向日葵
向日葵也在免费版中为用户提供了多种登录选择:App 扫码、账号密码、微信登录以及手机号登录。这种多元化的登录策略,为安全登录提供了多样化的入口。在测试中,新设备登录时未强制要求额外验证,存在一定的安全风险。
网易UU
网易UU远程仅支持手机号验证码登录,登录后直接连接,未要求额外验证,且其短信请求频次似乎未被有效限制,攻击者有可能通过暴力破解密码或试图拦截短信验证码的方式,来获取目标账号的登录信息,从而对账号安全造成威胁。
3.2、数据传输加密能力
在远程控制过程中,数据传输的安全性至关重要,尤其是在剪贴板和文件传输等环节。在数据传输加密能力测评中,我们测试了验证码的安全机制、数据传输加密协议、剪切板与文件的安全权限。
ToDesk
ToDesk 在【安全设置】中提供“手动”、“每小时”、“每12小时”、“每日”及“每次远控”五种刷新频率,是三者中最多、最灵活的方案。临时密码可以手动打开或者隐藏,下次再打开客户端会保留上一次的设置。
在加密协议方面,ToDesk的所有屏幕流、剪贴板和文件均通过 RSA/AES-256 点对点加密通道传输,中间节点无法解密。
在文件传输方面,ToDesk提供了细致的权限控制机制。在连接前,用户可以在连接请求时选择允许或禁止文件传输,在连接过程中,用户可在远程会话的右下角菜单栏中,实时启用或禁用文件传输功能。
此外,ToDesk企业版还支持详细的文件传输日志记录,管理者可在控制台查看各级员工的所有文件传输记录,包括文件名称、大小、传输者与接收设备等信息,实现全方位的数据流向跟踪与审计,在保障远程办公高效性的同时,构建了严密的文件传输安全防护体系。
向日葵
验证码方面,在实际评测中,向日葵提供“长期验证码”“今日验证码”“单次验证码”三种更新频率。
在加密协议方面,向日葵默认使用“标准”加密,也可在【网络设置】→【传输设置】中切换至 AES 或 ChaCha20,加上 TCP 转发时的 TLS 隧道,形成三重防护。
以及设置里可以选择识别码远控时,禁止同步本机剪贴板、拖拽本机传输文件和允许访问指定文件夹的细节文件数据控制,设定的比较细节,所以远控改动的话手动调节的环节多。
网易UU
而网易uu登录后无二次密码环节,主控直接连接被控桌面,无专门的访问码更新机制。
加密方面,官方并未公开底层加密细节,也不能对剪切板、文件权限进行加密操作。实测过程中,其能直接读取剪贴板同步数据与文件传输内容,安全性严重不足,强烈建议在传输敏感信息前另行使用加密工具。
四、隐私安全功能
由于远程操作涉及屏幕共享、数据传输和外部设备控制,任何安全漏洞都可能导致敏感信息泄露、金融欺诈或未授权访问,远控软件的隐私保护机制是否完善,直接关系到用户的切身利益和使用体验。本节将对黑屏机制、24小时防诈等待、金融账户防护等进行评测。
4.1、隐私屏/黑屏功能对比
在远程控制过程中,屏幕信息的暴露是最直接的隐私威胁。隐私屏(或黑屏)功能的作用,是在保证远程操作正常进行的同时,动态隐藏敏感内容,避免旁观者或控制方窥探。
ToDesk
ToDesk具备隐私屏、隐私屏定制和强隐私功能,并可在新版中自定义屏保图片。使用时在远程会话的顶部菜单栏选择【显示】→【隐私屏】即可开启。
启用隐私屏后,被控端屏幕立刻锁定并显示黑屏(或自定义图片),主控端可正常操作,但被控端看不到实际桌面内容,能够有效隔离他人视线,保护隐私。
测试时发现,ToDesk还支持自定义隐私屏和强隐私功能,这两个功能是其他远控目前没有的。
其中,自定义隐私屏允许用户上传个性化的屏保图片,替代默认的隐私屏界面。只需要在个人中心-软件定制中,点击新增定制就可以自定义隐私屏幕了,我马上换成了我喜爱的壁纸星际公民。
强隐私模式则进一步增强了隐私保护。在该模式下,被控端的显示器将被完全关闭,无法通过任何方式查看屏幕内容。此功能适用于处理高度敏感信息的场景,如财务数据、研发资料等。
向日葵
向日葵提供传统的隐私屏功能。用户在“隐私设置”中勾选“启用隐私屏”,然后在远程控制会话的菜单栏中点击“桌面 -> 高级设置 -> 隐私屏”即可启用。
启动后,被控端的屏幕都会被锁定,并显示黑屏,旁人无法看到具体操作,保护操作隐私。
网易UU
网易UU也支持一键隐私屏,操作快捷,开启后能够使被控方进入黑屏,防止偷窥。
4.2、风险提醒消息
在远程控制场景中,及时识别新设备或异常登录行为,并对可疑操作发出告警,是构建“事前预警—事中拦截—事后审计”安全体系的关键环节。当被控端接收到远程控制请求或连接断开时,均会发送即时通知,用户可在“消息中心”中查看历史告警记录,实现全程留痕审计。
ToDesk
在ToDesk【安全设置】,用户可在显示设置里面勾选设备上下线、文件传输等提醒,那么你在桌面客户端、移动设备、微信公众号都可以收到消息提醒,公众号甚至会显示具体的设备名称、账号、地区、IP和时间,方便随时掌握账号的使用情况。
另外,在ToDesk主设备安全中心,当其他设备尝试登录或发起远控连接时,主控端或主设备会收到“登录/连接请求”推送,并且已登录的设备可以随时通过主设备退出登录。
向日葵
向日葵在账号检测到“新设备登录”或“异地登录”时,立即向已绑定的手机 APP、桌面客户端及微信公众号推送安全告警,提示用户校验是否本人操作,未授权可立刻修改密码或中断会话。
网易UU
网易UU现阶段更侧重低延迟、跨平台等远控基础功能,安全功能尚未完善,风险消息如“新设备登录通知”或“异地登录告警”,用户在不同设备或网络环境下登录或远控,均不会收到额外提示。
五、主动防诈保护
在远程控制场景中,诈骗风险尤为突出,攻击者常利用用户慌乱心理诱导其开启远控权限,进而实施资金窃取或数据窃密。远控软件的防诈保护机制能有效阻断高风险操作,为用户提供缓冲时间或主动拦截敏感行为,从源头降低诈骗成功率。
5.1、24小时防诈等待期
ToDesk
ToDesk专门设置了新设备24小时冷静期机制,对于新注册的账户或在新设备(未在账号绑定列表中)的登录,ToDesk会提示“设备未授权解锁,无法发起连接,请等待24小时后再试”。若首次使用该账号从另一台设备发起远控,需要先在新设备上等待24小时或在旧设备上进行授权后才能建立连接。这一设计意在防止骗局操作,给用户提供“冷静期”,有效降低因被骗子慌乱指导而立即远控的风险。
缺点是不能及时使用,单从长远来看,这个机制还是蛮实用且大胆的,是ToDesk从用户角度出发独家设计的。
向日葵和网易UU
目前均未提供类似“防诈等待期”的功能。
5.2、金融类窗口识别与隐藏
ToDesk
金融操作(如网银转账、证券交易、支付系统登录等)是远程控制场景中的最高风险行为,可能会遭遇非法分子的恶意截屏、键盘记录或远程操控,进而导致账户资金被盗、敏感数据泄露等。远控平台需具备主动识别金融窗口的能力,并动态触发隐私遮蔽、权限隔离、操作审计等防护措施。
在实测过程中,只有ToDesk支持金融窗口的自动识别和隐藏。安全识别机制能自动检测到诸如支付宝、云闪付、各家网银等金融类软件,一旦检测到打开这类应用,ToDesk会立即屏幕隐藏(黑屏),阻止主控端获取其中的敏感信息,直到退出金融应用才恢复正常远控。
另外,在实测当中,如果是开启ToDesk投屏模式的话,凡是网银软件、证券交易、支付功能等高危页面都会有提示警告,会特别提示为了保护个人隐私安全,防范网络诈骗,请勿在共享屏幕时打开的风险提示,并要求用户回答风险评估问题。只有通过答题,才能继续操作。这一措施提醒用户谨慎操作,防止因操作不当导致的安全隐患。
向日葵和网易UU
暂时均未内置针对金融类应用的识别保护功能。在远程控制过程中,如果打开网银网页、银行客户端或支付类应用,其屏幕内容照常显示,并不自动触发任何隐私保护机制。
六、安全实测小结
在当今数字化办公与远程协作盛行的时代,远程控制软件的安全性能直接关系到个人隐私、企业机密乃至金融资产的安全。构建坚实可靠的远程控制安全防线,不仅是软件厂商的责任,更是用户安心使用远控技术的关键保障。本次对 ToDesk、向日葵和网易UU三款主流远控软件的安全功能深度剖析表明,三者在账号风控、隐私保护、行为追踪等维度呈现出显著差异,总的来说:
- ToDesk远控基础扎实,安全功能最全面,贴合用户场景设计了不少实用且创新的安全防线,尤其在主设备授权管理(二次验证机制)和智能风控(24小时防诈等待期、金融窗口保护)方面领先。
- 向日葵作为老一代的远控工具,基础安全功能完善,适用于大多数场景,但缺乏安全机制创新,缺乏自动金融账户防护和新设备强验证,也曾出现漏洞风险事例。
- 网易UU作为游戏加速器衍生的远控工具,目前侧重基础功能,安全功能尚未完善,仅支持基础隐私屏,无加密传输、无风控告警,适用于低风险场景。
为了更直观地展示三款软件的安全功能表现,我根据个人观点列了个评级星级表,如下:
| 安全功能维度 | ToDesk | 向日葵 | 网易UU |
|---|---|---|---|
| 设备连接管理 | ★★★★★ | ★★★★☆ | ★★☆☆☆ |
| 远程连接与数据传输 | ★★★★★ | ★★★★☆ | ★★☆☆☆ |
| 隐私安全机制 | ★★★★☆ | ★★★☆☆ | ★★☆☆☆ |
| 主动防诈保护机制 | ★★★★★ | ★☆☆☆☆ | ☆☆☆☆☆ |
未来,随着威胁手段的不断演变,远控软件的安全标准也将从单点防护走向体系化、智能化,真正实现从感知威胁到自主决策、即时响应的闭环防御,全面提升用户在无感体验下的安全保障。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
