Win10系统Cortana允许攻击者打开恶意网站
windows10语音助手Cortana中的漏洞允许攻击者在用户设备上打开恶意网站,即使PC被锁定也是如此。
以色列研究人员Tal Be'ery和Amichai Shulman发现,他们可以绕过密码锁来指示设备访问网站,因为设备即使在锁定时仍继续监听语音命令,并且因为许多用户没有费心去训练语音助理研究人员在YouTube上的演示中表示,服从一个用户的命令。
威胁参与者可以将USB网络适配器插入锁定的设备,并简单地给出一个口头命令,指示Cortana打开Web浏览器并前往未加密的HTTP网页。插入USB驱动器的适配器会拦截请求并将浏览器重定向到恶意网页。
研究人员向微软披露了这一漏洞,并且通过将基于浏览器的命令直接发送到必应搜索引擎来修补漏洞。研究人员警告说,语音助手可能是现代设备上的一个潜在弱点,除非他们得到了适当的控制,并且建议用户在PC锁定时完全禁用语音命令。