微軟Cortana曝驚人漏洞！可繞過密碼下載惡意程序

自從設備擁有了安全密碼鎖之後，廠商總是在不斷開發出更安全的解鎖方式，比如指紋識別、眼球識別甚至是面部識別等等。總之這些安全認證統稱為生物識別的方式，他們能夠讓使用者更簡單的解鎖並使用自己的設備。但黑客們也開始研究如何繞過這些防護，因此安全問題頻繁出現。

最近微軟旗下的Cortana語音助手（小娜）成為了大家關注的焦點，並不是因為她做了什麼有趣的事情，而是成為了黑客的「幫凶」。據兩位來自以色列的安全人員公布，他們找到了利用微軟Cortana繞過密碼鎖屏，在PC客戶端瀏覽網頁並下載惡意程序的方法。

起因是，微軟最近剛剛更新的系統，用戶現在可以在鎖屏狀態下使用Cortana，微軟的目的是讓用戶可以在鎖屏的時候使用語音助手，完成一些特別的操作。實際上蘋果和谷歌也是這樣做的，本身並沒有什麼特別，但到了Cortana這裡卻出現了問題，因為她擁有在鎖屏狀態下打開網站的能力。

儘管這些網站打開之後普通用戶是看不到的，但安全人員卻發現了一種一種捷徑，利用這個功能，在未經允許的情況下進行更多操作，甚至連入同一網路下的其他計算機。

兩名安全人員利用一個帶有網路適配器的USB設備截獲計算機的網路請求，並且將這些網路請求重定向一個含有惡意程序的網站。這樣，這個網站會自動將惡意軟體下載並安裝到本地計算機上。同時這台計算機感染之後，同一網路下的其他計算機也可以被病毒感染。

安全人員之後將這個問題通知給微軟，微軟給出的解決方式如下：在計算機處於鎖定狀態下，如果用戶要求Cortana打開網頁，Cortana將不再直接打開用戶請求的網站，而是重定向至必應搜索。

但這種方式卻並不能夠真正的解決問題，只是用最簡單和低成本的方法跳過了安全人員使用的手段。不過並不意味著完全沒有漏洞，目前這兩位安全人員正在尋找新的方式，以突破Cortana。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！