A Cortana veio trazer ao Windows 10 novas capacidades e abrir assim a porta às assistentes virtuais no desktop. Esta ajuda é perfeita para a maioria, permitindo controlar todo o sistema operativo com comandos de voz.
Mas esta facilidade de controlo é também um ponto de falha, como agora se provou. Há um novo problema de segurança, chamado Open Sesame e permite usar a Cortana para comprometer o Windows 10.
Foi na conferência Black Hat que foi dado a conhecer o Open Sesame, a mais recente falha do Windows 10 e que faz uso da Cortana para o conseguir explorar. Esta vulnerabilidade foi descoberta por uma equipa de investigadores do Instituto de Tecnologia de Israel e aparentemente é simples de ser usada.
Cortana não garante a segurança do ecrã de bloqueio
Das muitas possibilidades que o Open Sesame permite, a mais preocupante é a possibilidade de execução de código arbitrário, o que pode levar a que seja contornado o ecrã de bloqueio, aceder a sites maliciosos ou simplesmente executar ficheiros infetados, previamente carregados para o Windows.
O Open Sesame resulta da capacidade que a Cortana tem de escutar e executar comandos em fundo, estando sempre disponível para responder às exigências dos utilizadores. Do que foi mostrado, a falha pode ser explorada sem a presença de qualquer código externo, bastando dar as ordens à Cortana
A Microsoft já tem a solução para o Open Sesame
Claro que esta falha tinha sido já reportada à Microsoft, que rapidamente tratou de a resolver e distribuir a solução para o seu sistema de atualização do Windows 10, estando já devidamente tratada.
Marcada com o código CVE-2018-8140, esta falha foi categorizada como de elevada perigosidade, tendo a correção sido lançada para os utilizadores no dia 18 de junho.
Mesmo com a segurança reposta, é de todo essencial que a utilização da Cortana seja desativada quando o ecrã está bloqueado, para que situações destas sejam evitadas. Esta não é também a primeira vez que a Cortana tem problemas em situações idênticas.
Mais problemas de segurança da Cortana