Win10系统Cortana允许攻击者打开恶意网站

windows10语音助手Cortana中的漏洞允许攻击者在用户设备上打开恶意网站，即使PC被锁定也是如此。

以色列研究人员Tal Be'ery和Amichai Shulman发现，他们可以绕过密码锁来指示设备访问网站，因为设备即使在锁定时仍继续监听语音命令，并且因为许多用户没有费心去训练语音助理研究人员在YouTube上的演示中表示，服从一个用户的命令。

威胁参与者可以将USB网络适配器插入锁定的设备，并简单地给出一个口头命令，指示Cortana打开Web浏览器并前往未加密的HTTP网页。插入USB驱动器的适配器会拦截请求并将浏览器重定向到恶意网页。

研究人员向微软披露了这一漏洞，并且通过将基于浏览器的命令直接发送到必应搜索引擎来修补漏洞。研究人员警告说，语音助手可能是现代设备上的一个潜在弱点，除非他们得到了适当的控制，并且建议用户在PC锁定时完全禁用语音命令。