Wie der eigene Sprachassistent Cortana dem Nutzer den Rücken zukehrte

25 Sep, 2018

Gefahr für Windows 10 Nutzer - Sprachassistent Cortana hilft Hackern

Auf einer Konferenz für Informationssicherheit, der sogenannten Black Hat, wurden mehrere Sicherheitslücken des Windows Sprachassistenten Cortana offengelegt.

Mit gleich mehreren verschiedenen Methoden hat sich der Windows 10 Sprachassistent Cortana dazu verleiten lassen, nicht berechtigten Personen den Zugang zu einem gesperrtem Windows Rechner zu ermöglichen. Durch eine Veranschaulichung eines israelischen Technologieinstituts, wurde die Leichtigkeit des Zugangs auf persönliche Daten, mittels Sprachbefehlen, verdeutlicht. Normalerweise müsste sich ein Benutzer, sofern der Rechner mit einem Passwort geschützt ist, erst anmelden, um freien Zugang zu den Daten zu bekommen. In diesem Fall fehlte von dieser Schutzfunktion allerdings jede Spur. Nach dem Aktivieren vom Sprachassistenten konnte auf eine zufällige Taste gedrückt werden und es öffnete sich ein Suchfenster des Systems. Die Suchleiste zeigte dem Angreifer dann die gesuchte Datei, seien es Bilder oder auch Textdokumente, bei gesperrtem Benutzer. Der Zugang zum PC mittels einem USB-Stick war aber auch möglich. Der Ablauf des Angriffs, auf Daten, änderte sich dabei aufgrund der Sicherheitslücken nicht. Das bedeutet, man konnte über die gleiche Suchleiste an die gewünschten Daten kommen. Das gezielte Befallen von Viren oder auch Trojanern war aufgrund der Schwachstelle ebenfalls möglich. Dazu hätte man beispielsweise per Sprachbefehl eine bösartig manipulierte und nicht geschützte Internetseite, das bedeutet, dass die Seite über kein sicheres Übertragungsprotokoll, dem sogenannten HTTPS, verfügt, aufrufen lassen können. Die nicht geschützte Internetseite könnte den Rechner dann mit Viren oder anderen schädlichen Programmen befallen. Auch das Installieren von Plug-Ins, kleine Software, die in Programme integriert werden können, waren keine Herausforderung. Die Freigabe zur Installation erfolgte auch per Sprachbefehl. Doch mittlerweile sind die beschriebenen Sicherheitslücken von Microsoft beseitigt worden. Das israelische Team bekam sogar eine Prämie. Weitere Sicherheitslücken sollen, durch das Studententeam, auch an Microsoft mittgeteilt worden sein. Das israelische Team rät dennoch dazu, den Sprachassistenten bei gesperrtem Benutzer zu deaktivieren.