聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
安全研究员指出,在 Windows 锁屏上启用微软小娜可能带来安全风险。在这种配置下,用户能攻陷系统或引发或通过存储在浏览器缓存中的凭证模拟用户。
微软小娜语音助手默认在锁屏上启用,它能回答语音或文字问题,即使在用户未经认证的情况下也不例外。如果用户未经认证,那么它通过 Edge 浏览器和 IE 11 的限制版执行。
迈克菲公司的研究人员发布报告,详细说明了攻击者如能物理访问设备所带来的危险。研究员通过一些投入并询问正确的问题,就能够让小娜指向受控制的域名,而不必解锁。由于攻击者已控制该域名,那么就能够在访问计算机浏览器上运行任意 javascript。
拿下未维护域名
迈克菲此前发布研究成果说明了恶意人员如何滥用小娜访问数据、运行恶意代码、甚至更改锁定个人电脑的密码。
小娜可根据用户的要求和做法,提供更加详细的响应以及受信任网络资源的链接。如果所查询的内容适用于官方站点,那么小娜会显示维基百科上所列的网站。研究人员表示,“我们能够利用这种信息构造一个虚假的维基百科条目,添加足够的内容获得审查通过,添加一个官方网站链接,然后看看小娜显示什么内容。”
尽管这种想法可能实现但并不一定起作用,因为维基百科上的内容要经过审查者的审查。因此攻击者可能必须等待必应对页面的索引,然后小娜才能够检索想要的答案。
另外一种方法是找到维基百科上官方网站的未维护连接或死链接或购买这类链接。相比等待搜索引擎检索的不利因素而言,这种方法的噪音更少。
报告指出,很多死链接仍然被注册但并不提供任何内容,而其它连接虽然被标注“死链接”但仍然活跃。报告列出域名列表,其中一些域名的价格要相对高一些。
拥有自己的域名后,攻击者就能安装利用。当链接在小娜中点击时,Edge 浏览器会自动检索内容并在无需解锁的情况下感染 Windows 10 个人电脑。
这种方法很吵,在公众场合对着计算机讲话容易引起怀疑。更加隐秘的方法是使用价值3美元的电子设备通过超声波将命令发送给语音助手软件。这种方法被称为 Dolphin Attack,它适用于微软小娜以及亚马逊、华为、谷歌、苹果和三星的语音识别产品。
使用 Cortana Skills 浏览 web,模拟用户
还可通过使用专门访问具体信息的应用程序 Cortana skills访问锁定状态下的 Windows 电脑。
通过询问问题触发 Cortana skill,从 skill 中的一个链接跳转至另外一个链接并再次访问社交媒体站点,以及其它互联网内容。
研究人员表示,这些在线内容通过启用 JavaScript 和Cookies 的 IE 11 精简版加载。他还分享保持在当前 IE 会话中的自动补全和凭证。
至少从理论上来讲,它可导致攻击者登录在线服务并以合法用户的身份进行修改,如果用户名和密码已经保存在 IE 浏览器中的话。
对于攻陷这种功能而言,距离是非常重要的因素,因此它不可能在网络犯罪分子中间流行起来。但发现 IE 11 版本中的安全限制能够推动其它攻击的发生。
为了真正保护自己免受这类攻击,迈克菲建议在微软规定在电脑锁定情况下不可访问之前,禁用锁屏上的微软小娜。
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-cortana-flaw-could-allow-browsing-on-locked-systems/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。