Sto esaminando la versione 15.16.8 del 15 marzo 2021 e mi accorgo della seguente situazione che è presente nelle impostazioni predefinite del software per Windows Team Viewer:
- la password temporanea non viene cambiata a fine della sessione remota
- non viene richiesta alcuna conferma di sicurezza per la password temporanea quindi, se usata, la connessione al PC remoto sarà stabilita senza necessità di essere approvata da ulteriori conferme.
Da diverso tempo provo a riportare questa situazione al team del software, cosa non facile e non sempre possibile per gli utenti gratuiti. Soprattutto noto che la situazione continua ad essere la stessa e quindi, al momento, non è cambiata.
Ritengo dunque importante informare dei rischi e di eventuali accortezze per ridurli.
Consiglio agli utenti stessi di Team Viewer di contattare l'assistenza riportando eventuali situazioni di mal funzionamento, compresa la situazione qui descritta chiedendone la risoluzione.
Al termine di una sessione remota presuppongo che la password temporanea non sia più valida e che quindi, il mio dispositivo sia sicuro da eventuali ulteriori collegamenti non autorizzati ma non sembra essere così.
Per impostazione predefinita della sopracitata versione, la password temporanea resterà valida fino a quando il dispositivo non verrà riavviato o fino a quando l'utente non avrà generato una nuova password.
Quanto descritto sopra potrebbe essere sfruttato sia intenzionalmente che non per connettersi senza autorizzazione, in un momento in cui magari siamo assenti, al nostro dispositivo.
Convinti che terminata la sessione ci possiamo assentare in tranquillità potrebbe crearsi una situazione di vulnerabilità nel caso in cui non avessimo generato manualmente una nuova password o nel caso in cui non avessimo modificato in precedenza le impostazioni predefinite di Team Viewer.
Nella guida Inglese del software "All about passwords" è possibile trovare indicazioni su come modificare le impostazioni per generare automaticamente una password temporanea diversa, alla fine della sessione remota.
Random Password after each session
You can select whether or when you would like Team Viewer to generate a new random password for incoming sessions.
Under Extras --> Options --> Advanced--> Under Advanced settings for connections to this computer --> Random password after each session --> Choose your option --> Click OK
Dal menù Extra selezionare opzioni quindi avanzate.
Cliccare su "mostra opzioni avanzate".
In questa schermata, nella voce Avanzate, è possibile trovare la seguente frase ad inizio pagina: "Genera una password casuale dopo ogni sessione". Dal menù a tendina è possibile selezionare la relativa opzione desiderata; consigliato: genera una nuova password. Si può quindi procedere a salvare premendo ok alla fine della finestra.
Per quanto riguarda il punto due precedentemente indicato, ovvero l'assenza di un una finestra (come in Chrome Remote Desktop) che chiede l'autorizzazione prima di consentire una connessione tramite password temporanea, non sono riuscito a trovare un'impostazione. Ricordo che in precedenza veniva mostrato un avviso, in ogni caso questa funzione non mi sembra presente nelle ultime versioni.
I am looking at version 15.16.8 of March 15, 2021 and I notice the following situation which is present in the default settings of the software for Windows Team Viewer:
- the temporary password is not changed at the end of the remote session.
- no security confirmation is required for the temporary password so, if used, the connection to the remote PC will be established without the need to be approved by further confirmations.
For some time I have been trying to report this situation to the software team, which is not easy and not always possible for free users. Above all, I note that the situation continues to be the same and therefore, at the moment, it has not changed.
I therefore consider it important to inform about the risks and any precautions to reduce them.
I advise Team Viewer users themselves to contact support reporting any malfunction situations, including the situation described here, asking for its resolution.
At the end of a remote session I assume that the temporary password is no longer valid and that therefore, my device is safe from any further unauthorized connections but it does not seem to be so.
By default of the above version, the temporary password will remain valid until the device is restarted or until the user has generated a new password.
The above could be used both intentionally and not to connect without authorization, at a time when we may be absent, to our device.
Convinced that at the end of the session we can leave in peace, a vulnerable situation could arise if we have not manually generated a new password or if we have not previously changed the default settings of Team Viewer.
In the English guide of the "All about passwords" software you can find instructions on how to change the settings to automatically generate a different temporary password at the end of the remote session.
Random Password after each session
You can select whether or when you would like Team Viewer to generate a new random password for incoming sessions.
Under Extras --> Options --> Advanced--> Under Advanced settings for connections to this computer --> Random password after each session --> Choose your option --> Click OK
From the Extra menu select options then advanced.
Click on "show advanced options".
In this screen, in the Advanced item, you can find the following sentence at the top of the page: "Generate a random password after each session". From the drop-down menu it is possible to select the relative desired option; recommended: generate a new password. You can then proceed to save by pressing ok at the end of the window.
Regarding point two previously mentioned, which is the absence of a window (as in Chrome Remote Desktop) asking for permission before allowing a connection with a temporary password, I could not find a setting. I remember that previously a warning was shown, in any case this function does not seem to be present in the latest versions.
