微軟Cortana現漏洞：可繞過鎖屏密碼直接訪問網站

北京時間3月7日下午消息，使用人工智能技術的數字虛擬助手成為了眾多科技企業必備的武器之一。對於一些人來說，這種技術改變了他們的生活，讓他們養成了全新的電子設備使用習慣。但是對另外一些人來說，虛擬助手隻是讓他們新鮮一時的東西而已。還有另外一部分人，這些人不但對於各類科技產品非常熟悉，而且還掌握著這些產品背後的幾乎。在這些人看來，虛擬助手成為了他們破解設備的一扇門。

兩個來自以色列的安全研究人員就找到了利用微軟語音助手Cortana，在已經鎖定的Windows PC上下載惡意程序的方法。Cortana不但成為了普通用戶的好幫手，還有可能成為黑客們的好幫手。

不久前微軟對Cortana進行了升級，讓用戶在電腦鎖定的狀態下也能使用這個虛擬語音助手。這個功能本身其實並不稀奇，蘋果的Siri和穀歌Assistant都能在智能手機上實現該功能。一般情況下，設備在鎖定的時候，用戶可使用的功能都非常有限，至少穀歌Assistant和蘋果Siri就是這樣做的。然而Cortana卻和前兩者不太一樣。

即使在計算機處於鎖定的情況下，用戶也可以讓Cortana打開網站。在收到用戶的指令之後，Cortana會盡職盡責地打開網站，然而它的操作對於普通用戶來說毫無意義，因為打開的頁麵不會顯示在鎖屏界麵上。但是在黑客眼中，Cortana的這個特點為他們打開了在未授權的情況下接入計算機的大門，甚至還可以介入處於同一網絡下的其他計算機。

前文提到的兩名安全研究員將一個帶有網絡適配器的USB設備插入了電腦，該設備可以截獲計算機的網絡請求，並且將這些網絡請求重定向另一個含有惡意程序的網站。之後這個網站會自動將惡意軟件下載並安裝到計算機上。當這台計算機被感染之後，它能夠使用多種方法感染同一網絡下的其他計算機。

微軟表示他們已經知曉了這個漏洞，但是他們的回應卻有些讓人啼笑皆非：在計算機處於鎖定狀態下，如果用戶要求Cortana打開網頁，Cortana將不再直接打開用戶請求的網站，而是重定向至必應搜索。但是這種做法依然允許Cortana在鎖定狀態下對用戶的指令做出相應。目前安全研究人員正在尋找其他類似的方法，利用Cortana繞過計算機鎖定密碼。目前暫時的解決辦法是通過設定讓Cortana隻對你的聲音做出回應，其他人的語音指令會被係統忽略。(月恒)