新攻擊手法讓Cortana成為駭客入侵上鎖的Windows 10幫兇

兩名以色列資安研究人員Tal Be’ery與Amichai Shulman本周指出，他們可透過微軟數位語音助理Cortana的安全漏洞入侵Windows 10裝置，就算是在螢幕上鎖時也能指使Windows 10上的瀏覽器造訪不安全的網站。

此一攻擊必須要先實體接觸被害電腦，並插入一USB無線網卡，再以Cortana要求瀏覽器造訪一個未受HTTPS保護的網站，由於該網卡可干預連線，允許駭客加以竄改，將瀏覽器導至惡意網站，進而下載病毒。

Be’ery則藉由影片說明(下)，就算是在被鎖住的電腦上，瀏覽器仍會聽從Cortana指令以造訪網站。

雖然上述攻擊的第一步必須要實際接觸運算裝置才能進行，但研究人員警告，若受駭裝置屬於企業內部網路的一員，還能進而攻擊同一網路的其它裝置。

微軟已得知並修補了此一漏洞，作法是當螢幕上鎖時，將由Cortana發起的瀏覽行為強制導至基於HTTPS的Bing搜尋引擎。資安專家則建議Windows 10用戶可以關閉Cortana在螢幕上鎖時的執行功能，或是訓練Cortana只認得自己的聲音。