Siri、微软小娜等语音助手可导致企业遭攻击

翻译：360代码卫士团队

研究人员警告称，攻击者或能滥用语音虚拟助手黑进企业系统，并通过攻击微软语音助手微软小娜 (Cortana) 予以验证。

设备被锁也可向微软小娜发送命令

独立研究员 Amichai Shulman（Imperva 公司的前首席技术官和联合创始人）和 Tal Be’ery（微软收购的安全公司 Aorato 的前研究副总裁）找到利用微软小娜在被锁定的计算机中安装恶意软件的方法。研究人员将在这周五举行的卡巴斯基安全分析师峰会上详述研究成果。

在 Windows 10 系统中，如果默认设置未更改，那么任何人皆可通过说“你好，小娜 (Hey, Cortana)”的方式和微软小娜进行互动，而且即使设备被锁也不受影响。

Shulman 和 Be’ery 解释称，当设备被锁后，屏幕被锁定而且用户无法使用键盘控制应用，但应用仍在后台运行。

在他们所描述的攻击场景中，恶意仆人（即能物理访问目标设备的黑客）能够通过告知微软小娜访问某个网站、通过计算机附属设备拦截流量并将恶意代码注入连接的方式在被锁设备上安装恶意软件。

微软小娜从被锁屏幕上接受的其中一种语音命令是“访问（网站域名）”。如果用户告知微软小娜访问任何网站，Windows 会启动浏览器进程并将对该域名的查询发送给必应。在“权限”网站的场景下，如 cnn.com，Windows 会启动一个浏览器进程并直接导航至该网站。研究人员将存在潜在利用风险的情况告知微软后，后者决定不再允许从被锁设备直接浏览网站。

攻击过程

在研究人员所述的攻击场景中，第一步涉及将恶意 USB 网卡或网线插入目标设备。攻击者随后下令让微软小娜访问未使用 HTTPS 连接的权限网站（例如 cnn.com）。

由于该连接并未受保护，因此黑客的网卡能用于执行中间人攻击并用恶意代码替代正常流量如网络浏览器利用代码传输恶意软件。这款恶意软件随后会向受攻陷系统提供远程后门。

如果攻击者已经拥有访问系统的权限，那么他们就能够执行远程攻击，恶意软件播放音频文件下令微软小娜导航至任意网站。通过这种方法，黑客即可入侵位于目标企业网络中的其它设备。

Be’ery 指出，“攻击者利用受感染的计算机扬声器向以前一样向微软小娜发送命令（播放‘访问 CNN.com’）”。攻击者通过已知的网络攻击（如 ARP 投毒）获得访问下一台受害者计算机的网络权限（相当于网线或 USB 网卡），并用恶意内容替换 cnn.com 的内容。”

微软已作出更改 Siri 等也适用

虽然微软在2017年8月做出一些服务器端的更改以阻止该滥用，但Shulman 和 Be’ery 认为可能存在可执行同样攻击的其它微软小娜命令，而且指出研究成果也可适用于其它语音助手如苹果的 Siri。

研究人员将推出通信代理 Newspeak

研究人员还开发出一款工具 Newspeak 作为微软小娜和微软服务器的通信代理。

Be’ery 解释称，“Newspeak 工具能让用户监控微软小娜请求（用户说“访问 cnn.com”，微软小娜云将解释文本发送回来）和结果（微软小娜云命令微软小娜客户端执行“浏览 cnn.com”的动作），因此会创建微软小娜的审计日志。它可用于检测恶意和异常使用进而对其拦截或发出警报。”

他还补充道，“Newspeak 工具的另外一个用途是更改命令实现娱乐或恶意目的（用户请求cnn 网站新闻，但返回的结果是 fox 网站新闻）”或者实现防御用例（未访问 HTTP 网站，而是 HTTPS 网站）。

研究人员表示，未来将发布这款 Newspeak 工具。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。