微软Cortana现漏洞:可绕过锁屏密码直接访问网站

摘要:

北京时间3月7日下午消息,使用人工智能技术的数字虚拟助手成为了众多科技企业必备的武器之一。对于一些人来说,这种技术改变了他们的生活,让他们养成了全新的电子设备使用习惯。但是对另外一些人来说,虚拟助手只是让他们新鲜一时的东西而已。还有另外一部分人,这些人不但对于各类科技产品非常熟悉,而且还掌握着这些产品背后的几乎。在这些人看来,虚拟助手成为了他们破解设备的一扇门。

两个来自以色列的安全研究人员就找到了利用微软语音助手Cortana,在已经锁定的Windows PC上下载恶意程序的方法。Cortana不但成为了普通用户的好帮手,还有可能成为黑客们的好帮手。

`G)MC_7{{$@37I$L~@ZH)22.png

不久前微软对Cortana进行了升级,让用户在电脑锁定的状态下也能使用这个虚拟语音助手。这个功能本身其实并不稀奇,苹果的Siri和谷歌Assistant都能在智能手机上实现该功能。一般情况下,设备在锁定的时候,用户可使用的功能都非常有限,至少谷歌Assistant和苹果Siri就是这样做的。然而Cortana却和前两者不太一样。

即使在计算机处于锁定的情况下,用户也可以让Cortana打开网站。在收到用户的指令之后,Cortana会尽职尽责地打开网站,然而它的操作对于普通用户来说毫无意义,因为打开的页面不会显示在锁屏界面上。但是在黑客眼中,Cortana的这个特点为他们打开了在未授权的情况下接入计算机的大门,甚至还可以介入处于同一网络下的其他计算机。

前文提到的两名安全研究员将一个带有网络适配器的USB设备插入了电脑,该设备可以截获计算机的网络请求,并且将这些网络请求重定向另一个含有恶意程序的网站。之后这个网站会自动将恶意软件下载并安装到计算机上。当这台计算机被感染之后,它能够使用多种方法感染同一网络下的其他计算机。

微软表示他们已经知晓了这个漏洞,但是他们的回应却有些让人啼笑皆非:在计算机处于锁定状态下,如果用户要求Cortana打开网页,Cortana将不再直接打开用户请求的网站,而是重定向至必应搜索。但是这种做法依然允许Cortana在锁定状态下对用户的指令做出相应。目前安全研究人员正在寻找其他类似的方法,利用Cortana绕过计算机锁定密码。目前暂时的解决办法是通过设定让Cortana只对你的声音做出回应,其他人的语音指令会被系统忽略。(月恒)

查看评论
created by ceallan