Notebookcheck
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Sicherheitslücken: Cortana als simples Einfallstor für Hacker

Sicherheitslücken: Cortana als simples Einfallstor für Hacker
Sicherheitslücken: Cortana als simples Einfallstor für Hacker
Auf der jährlich stattfindenden Sicherheitskonferenz Black Hat Anfang August haben Forscher mehrer Sicherheitslücken in Microsofts Sprachassistenten Cortana aufgezeigt. So lässt sich bereits ohne Windows-Passwort recht simpel Schadcode über die hilfreiche Assistentin ausführen.
Christian Hintze,
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

"Cortana let's you achieve more while doing less". Die Windows-Sprachassistenten Cortana ist offensichtlich nicht nur dem eigentlichen Nutzer hilfreich, sondern greift auch potentiellen Hackern netterweise bei Bedarf unter die Arme. Gleich vier verschiedene Wege konnten die Security-Forscher demonstrieren, durch die sich Cortana dazu „überreden“ ließ Zugriff auf einen eigentlich gesperrten Windows-PC zu gewähren.

So kann Cortana bereits beim Anmeldebildschirm über den üblichen Sprachbefehl („Hey, Cortana“) aktiviert werden. Ein folgender Druck auf eine beliebige Taste öffnet das Suchfeld mit Vorschaudateien zu Bildern, Videos oder Textdokumenten, sodass es dem potentiellen Angreifer bereits gestattet ist, ohne vorherige Anmeldung auf das Dateisystem zuzugreifen.

Ein eigentlich unglaublich simpler Vorgang bei dem sich die Frage auftut, wie Microsoft dies übersehen konnte. Über den gleichen Mechanismus lässt sich auch Schadsoftware von einem USB-Stick ausführen. Denn bei eingestecktem USB-Stick erhält man durch das gleiche Vorgehen Zugriff auf die Dateipfade des Sticks und kann so auch Schadcode ausführen.

Cortana erlaubt zudem das Aufrufen einer beliebigen Nicht-HTTPS-Webseite per Sprachbefehl, wodurch eine Man-in-the-Middle-Attacke drohen kann. Sämtliche gefundenen Fehler hat Microsoft nach deren Bekanntwerden gefixt, allerdings gibt es Informationen darüber, dass Studenten noch weitere Sicherheitslücken in Cortana gefunden hätten. Die Forscher raten dazu Cortana bei gesperrtem Rechner zu deaktivieren.

Quelle(n)

Heise

Bild: Microsoft

, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 
Alle 1 Beträge lesen / Antworten
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Christian Hintze
Christian Hintze - Managing Editor - 1617 Artikel auf Notebookcheck veröffentlicht seit 2016
Ein C64 markierte meinen Einstieg in die Welt der PCs. Mein Schülerpraktikum verbrachte ich in der Reparaturabteilung eines Computerladens, zum Abschluss durfte ich mir aus “Werkstattresten” einen 486er PC selbst zusammenbauen. Folglich begann ich später ein Informatikstudium an der Humboldt-Uni in Berlin, Psychologie kam hinzu. Nach meiner ersten Arbeit als wissenschaftlicher Mitarbeiter an der Uni ging ich für ein Jahr nach London und arbeitete für Sega an der Qualitätssicherung von Computerspielübersetzungen, u.a. an Spielen wie Sonic & All-Stars Racing Transformed oder Company of Heroes. Seit 2017 schreibe ich für Notebookcheck.
Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-08 > Sicherheitslücken: Cortana als simples Einfallstor für Hacker
Autor: Christian Hintze, 10.08.2018 (Update: 10.08.2018)