最近微软旗下的Cortana语音助手(小娜)成为了大家关注的焦点, 并不是因为她做了什么有趣的事情, 而是成为了黑客的 '帮凶' . 据两位来自以色列的安全人员公布, 他们找到了利用微软Cortana绕过密码锁屏, 在PC客户端浏览网页并下载恶意程序的方法.
起因是, 微软最近刚刚更新的系统, 用户现在可以在锁屏状态下使用Cortana, 微软的目的是让用户可以在锁屏的时候使用语音助手, 完成一些特别的操作. 实际上苹果和谷歌也是这样做的, 本身并没有什么特别, 但到了Cortana这里却出现了问题, 因为她拥有在锁屏状态下打开网站的能力.
尽管这些网站打开之后普通用户是看不到的, 但安全人员却发现了一种一种捷径, 利用这个功能, 在未经允许的情况下进行更多操作, 甚至连入同一网络下的其他计算机.
两名安全人员利用一个带有网络适配器的USB设备截获计算机的网络请求, 并且将这些网络请求重定向一个含有恶意程序的网站. 这样, 这个网站会自动将恶意软件下载并安装到本地计算机上. 同时这台计算机感染之后, 同一网络下的其他计算机也可以被病毒感染.
安全人员之后将这个问题通知给微软, 微软给出的解决方式如下: 在计算机处于锁定状态下, 如果用户要求Cortana打开网页, Cortana将不再直接打开用户请求的网站, 而是重定向至必应搜索.
但这种方式却并不能够真正的解决问题, 只是用最简单和低成本的方法跳过了安全人员使用的手段. 不过并不意味着完全没有漏洞, 目前这两位安全人员正在寻找新的方式, 以突破Cortana.