圖片來源: 

Tal Be’ery

兩名以色列資安研究人員Tal Be’ery與Amichai Shulman本周指出,他們可透過微軟數位語音助理Cortana的安全漏洞入侵Windows 10裝置,就算是在螢幕上鎖時也能指使Windows 10上的瀏覽器造訪不安全的網站。

此一攻擊必須要先實體接觸被害電腦,並插入一USB無線網卡,再以Cortana要求瀏覽器造訪一個未受HTTPS保護的網站,由於該網卡可干預連線,允許駭客加以竄改,將瀏覽器導至惡意網站,進而下載病毒。

Be’ery則藉由影片說明(下),就算是在被鎖住的電腦上,瀏覽器仍會聽從Cortana指令以造訪網站。

 

雖然上述攻擊的第一步必須要實際接觸運算裝置才能進行,但研究人員警告,若受駭裝置屬於企業內部網路的一員,還能進而攻擊同一網路的其它裝置。

微軟已得知並修補了此一漏洞,作法是當螢幕上鎖時,將由Cortana發起的瀏覽行為強制導至基於HTTPS的Bing搜尋引擎。資安專家則建議Windows 10用戶可以關閉Cortana在螢幕上鎖時的執行功能,或是訓練Cortana只認得自己的聲音。


Advertisement

更多 iThome相關內容