最近微軟旗下的Cortana語音助手(小娜)成為了大家關注的焦點, 並不是因為她做了什麼有趣的事情, 而是成為了黑客的 '幫凶' . 據兩位來自以色列的安全人員公布, 他們找到了利用微軟Cortana繞過密碼鎖屏, 在PC客戶端瀏覽網頁並下載惡意程序的方法.
起因是, 微軟最近剛剛更新的系統, 用戶現在可以在鎖屏狀態下使用Cortana, 微軟的目的是讓用戶可以在鎖屏的時候使用語音助手, 完成一些特別的操作. 實際上蘋果和穀歌也是這樣做的, 本身並沒有什麼特別, 但到了Cortana這裡卻出現了問題, 因為她擁有在鎖屏狀態下開啟網站的能力.
儘管這些網站開啟之後普通用戶是看不到的, 但安全人員卻發現了一種一種捷徑, 利用這個功能, 在未經允許的情況下進行更多操作, 甚至連入同一網路下的其他計算機.
兩名安全人員利用一個帶有網路適配器的USB設備截獲計算機的網路請求, 並且將這些網路請求重定向一個含有惡意程序的網站. 這樣, 這個網站會自動將惡意軟體下載並安裝到本地計算機上. 同時這台計算機感染之後, 同一網路下的其他計算機也可以被病毒感染.
安全人員之後將這個問題通知給微軟, 微軟給出的解決方式如下: 在計算機處於鎖定狀態下, 如果用戶要求Cortana開啟網頁, Cortana將不再直接開啟用戶請求的網站, 而是重定向至必應搜索.
但這種方式卻並不能夠真正的解決問題, 只是用最簡單和低成本的方法跳過了安全人員使用的手段. 不過並不意味著完全沒有漏洞, 目前這兩位安全人員正在尋找新的方式, 以突破Cortana.