微软Cortana惊人漏洞 可绕过密码下载恶意程序

　　自从设备拥有了安全密码锁之后，厂商总是在不断开发出更安全的解锁方式，比如指纹识别、眼球识别甚至是面部识别等等。总之这些安全认证统称为生物识别的方式，他们能够让使用者更简单的解锁并使用自己的设备。但黑客们也开始研究如何绕过这些防护，因此安全问题频繁出现。

　　最近微软旗下的Cortana语音助手(小娜)成为了大家关注的焦点，并不是因为她做了什么有趣的事情，而是成为了黑客的“帮凶”。据两位来自以色列的安全人员公布，他们找到了利用微软Cortana绕过密码锁屏，在PC客户端浏览网页并下载恶意程序的方法。

　　起因是，微软最近刚刚更新的系统，用户现在可以在锁屏状态下使用Cortana，微软的目的是让用户可以在锁屏的时候使用语音助手，完成一些特别的操作。实际上苹果和谷歌也是这样做的，本身并没有什么特别，但到了Cortana这里却出现了问题，因为她拥有在锁屏状态下打开网站的能力。

　　尽管这些网站打开之后普通用户是看不到的，但安全人员却发现了一种一种捷径，利用这个功能，在未经允许的情况下进行更多操作，甚至连入同一网络下的其他计算机。

　　两名安全人员利用一个带有网络适配器的USB设备截获计算机的网络请求，并且将这些网络请求重定向一个含有恶意程序的网站。这样，这个网站会自动将恶意软件下载并安装到本地计算机上。同时这台计算机感染之后，同一网络下的其他计算机也可以被病毒感染。

　　安全人员之后将这个问题通知给微软，微软给出的解决方式如下：在计算机处于锁定状态下，如果用户要求Cortana打开网页，Cortana将不再直接打开用户请求的网站，而是重定向至必应搜索。

　　但这种方式却并不能够真正的解决问题，只是用最简单和低成本的方法跳过了安全人员使用的手段。不过并不意味着完全没有漏洞，目前这两位安全人员正在寻找新的方式，以突破Cortana。