为了优化体验,语音助手往往拥有非常高的权限。
在iOS上,Siri引起的安全漏洞已经多次被曝光。
这次最新的受害者是 Cortana,它预装在每台 Windows 10 计算机上。
知名安全公司McAfee公布了Win10中Cortana的最新漏洞。
锁屏时调用Cortana执行恶意脚本,不仅实现了对计算机的完全访问,还允许用户更改登录密码等,这利用了两个特性。
首先,Win10的默认索引目录非常广泛,包括公用文件夹、OneDrive等;其次,Win10的Cortana可以在锁屏状态下默认启用。
尽管exe文件不可执行,但McAfee发现可以使用Powershell将参数传递到命令行。
因此,即使目标计算机没有网络连接,仍然可以通过带有自身恶意程序的U盘进行攻击。
幸运的是,这个安全漏洞于4月23日被McAfee安全研究人员发现,并第一时间向微软报告。
在今天的周二补丁日,微软针对 v1803 和 v1709 的累积更新已得到修复。
如果你仍然介意,最好关闭 Cortana 的锁屏功能并调整高级索引目录。