Dopo il bug che permetteva di avviare eseguibili dalla schermata di login, si è scoperto che Cortana permette anche la navigazione non autorizzata sul web con potenziali rischi di sicurezza.
Un altro exploit della Schermata di blocco di Cortana
Il nuovo exploit scoperto può utilizzare Microsoft Edge per navigare verso un URL controllato da un utente malintenzionato o utilizzare una versione limitata di Internet Explorer 11 sfruttando le credenziali salvate per attaccare il PC della vittima. La falla è stata parzialmente risolta con l’aggiornamento cumulativo di agosto 2018, Cortana mostra i risultati in Bing.
Il comportamento di Cortana e le risposte sono influenzate dal modo in cui la domanda viene posta. Ponendo la domanda Ehi Cortana, che cos’è WindowsBlogItalia? si otterrebbe una risposta con Bing; chiedendo invece Ehi Cortana, WindowsBlogItalia si otterrebbe una risposta del tipo È il punto di riferimento per notizie, guide e recensioni su Windows, Surface, Xbox, Office, gadget e tutto ciò che riguarda il mondo Microsoft. Quest’ultima risposta viene generata grazie a Wikipedia, Twitter, LinkedIn, Facebook e il sito web ufficiale. I link vengono visualizzati e possono essere cliccati anche se il dispositivo è bloccato, dunque è possibile forzare la navigazione in un sito web.
Per sfruttare la vulnerabilità basterebbe creare una pagina di Wikipedia falsa con riferimenti a siti web malevoli e chiedere a Cortana di visualizzarla. Basterà cliccare sul collegamento relativo al sito malevolo e il gioco è fatto.
Gli assistenti vocali sono sicuramente utili nella società in cui viviamo, tuttavia possono essere usati come cavallo di troia. Per risolvere il problema basterebbe disattivare Cortana nella Schermata di blocco. Cosa ne pensate? Potrebbe rappresentare un serio rischio per la privacy? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | McAfee