Alfonso Maruccia

Ehi Cortana, installa un malware

I ricercatori riescono a violare la sicurezza di Windows 10 abusando dell'onnipresente assistente digitale dalla voce robotica. Problema risolto, dice Microsoft, ma chi ha scoperto la falla non ne è affatto convinto...

Roma - Due ricercatori israeliani hanno "flirtato" con Cortana in una maniera non prevista da Microsoft, spingendo infine il fembot integrato su Windows 10 a scaricare ed eseguire codice malevolo da remoto. Redmond ha già approntato la soluzione, ma i ricercatori sostengono che l'origine del problema non è stata presa in considerazione con la dovuta attenzione.

I ricercatori stanno presentando il loro "hack" in questi giorni, nel corso del Security Analyst Summit organizzato da Kaspersky a Cancun, in Messico, e le informazioni già pubblicate non lasciano adito a dubbi: a certe condizioni, l'assistente digitale di Windows 10 può tramutarsi in un nemico da temere o addirittura in un rischio per la sicurezza del sistema.

Il problema principale consiste in una "funzionalità" di Cortana implementata qualche anno fa, vale a dire la possibilità di impartire comandi vocali al sistema esperto anche quando il PC è bloccato o in sospensione. Cortana ascolta, sempre, ed quindi possibile provare ad attaccare il tool pure quando il sistema non è utilizzabile.

In particolare i ricercatori hanno inserito un dongle USB pensato per collegare il PC a una rete Wi-Fi sotto il loro controllo ed eseguire comandi appositamente preparati, mentre Cortana è stata interpellata per visitare un sito Web perfettamente legittimo (cnn.com nel caso in oggetto). Mentre Cortana apre il brower per aprire la pagina richiesta, il dongle USB dirotta la connessione verso un altro server scaricando ed eseguendo codice potenzialmente malevolo.

Microsoft ha già chiuso la falla forzando la navigazione Web avviata da Cortana su un PC bloccato tramite il motore di ricerca Bing, ma stando ai ricercatori la "soluzione" di Redmond non è affatto sufficiente: l'introduzione di un'assistente digitale così pervasivo (e invasivo) su Windows 10 non è stata valutata a dovere dal punto di vista della sicurezza, e i tentativi di bypassare i (presunti) controlli di Redmond andranno avanti.

Alfonso Maruccia
Notizie collegate
  • AttualitàCortana, Alexa e l'integrazione mancataI due assistenti digitali avrebbero dovuto cominciare a "collaborare" entro la fine dell'anno appena passato. L'integrazione arriverà presto, dicono le aziende interessate
  • AttualitàAlexa arriva sui PC per vie traverseUn accordo tra Amazon e i produttori OEM prepara il debutto dell'assistente digitale Alexa sui PC di nuova generazione, un'iniziativa che sembra anticipare la partnership diretta con Microsoft già annunciata nei mesi scorsi
59 Commenti alla Notizia Ehi Cortana, installa un malware
Ordina
  • Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com


    Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com


    Ciao,
    Questo messaggio è rivolto a individui, poveri, aziende, aziende e tutti coloro che hanno bisogno di un prestito particolare per portare a termine i loro progetti o per far rivivere le vostre attività o altri. 2%, qualunque sia l'importo richiesto. Prestiti da 3.000 € a 900.000 € Il periodo di rimborso è da 1 anno a 25 anni. Si prega di essere soddisfatti in 72 ore.
    Mail: danielapetrucci07@gmail.com
    non+autenticato
  • Secondo voi, nella vostra personale esperienza d'uso di un desktop (e anche di un mobile) a cosa servono gli assistenti vocali? Nonostante tutti i miglioramenti del caso, a parte tentare di stupire gli amici ne avete mai fatto alcun uso, specialmente quando vi farebbe comodo tipo in auto col cellofono o con le mani occupate e l'auricolare? Sono abbastanza certo che la stragrande maggioranza risponda NO.

    Cosa invece serve al produttore: raccolta dati per vari usi, principalmente comprendere meglio in automatico chi è l'utente e quindi profilarlo meglio ovvero proporre pubblicità sempre più invasiva ed efficacie (tipo hey, ma lo sai quanto ti farebbe comodo questa nuova borsa della spesa, detto nel momento opportuno) forse al punto di diventare un vero e proprio sistema efficacie per *orientare* il mercato.

    Ora domandatevi se potete rimuovere ed esser sicuri che non siano presenti certe funzionalità sui vostri computer. Se la risposta è che non solo potete rimuovere ma anche esser certi che i vari microfoni e camere dei vostri dispositivi non siano usabili sappiate che peccate di fiducia o ignoranza. Pensate solo ad una banalità: perché il led delle telecamere anziché essere un semplice ponticello sull'alimentazione della camera è controllato via software? È più complesso e costoso far così che non metterlo in parallelo all'alimentazione della camera (tipicamente una banale USB ad uso "interno"), ma così si può accendere la camera ad insaputa dell'utente che altrimenti troverebbe il led acceso. Perché non fare analogo led quando è acceso il microfono? Anche in ottica di risparmio energetico per aumentare la durata della batteria sarebbe una buona cosa. E non ditemi che i manager moderni che pensano pure all'usura dei WC non ci han pensato.

    Ora domandatevi cosa potete fare, parlatene col vostro avvocato, togliete il software proprietario ovunque potete, non comprate più top di gamma ecc. Fatevi sentire, l'unione fa la forza, altrimenti siamo tutti fregati.
    non+autenticato
  • - Scritto da: xte
    > Secondo voi, nella vostra personale esperienza
    > d'uso di un desktop (e anche di un mobile) a cosa
    > servono gli assistenti vocali?

    Nei desktop a niente, nei dispositivi mobili o con tastiere scomode (es. smart tv) è comodo non tanto l'assistente vocale quanto il riconoscimento vocale, quello non lo nego. Basta che parta e si fermi quando dico io, non che sia sempre in ascolto. Personalmente avere un dispositivo che mi risponda quando dico "hey ciccio, che ore sono?", oppure "hey ciccio, ch tempo che fa?" è ridicolo, anzi, ne farei io uno che risponde "non sei capace di guadare l'orologio da solo?".
    Ci possono essere settori di nicchia dove è utile, ad esempio a persone con handicap fisici, senza arti o cieche, ma non alla massa.
    non+autenticato
  • - Scritto da: xte

    > Pensate solo ad una banalità: perché
    > il led delle telecamere anziché essere un
    > semplice ponticello sull'alimentazione della
    > camera è controllato via software? È più
    > complesso e costoso far così che non metterlo in
    > parallelo all'alimentazione della camera
    > (tipicamente una banale USB ad uso "interno"),
    > ma così si può accendere la camera ad insaputa
    > dell'utente che altrimenti troverebbe il led acceso.

    La soluzione per 'sta paranoia della webcam è tanto vecchia quanto banale:
    scollegarla fisicamente o coprirla con del semplice nastro adesivo nero quando non la si usa. Precauzione che andrebbe adottata sempre, sia che si usi software proprietario o meno. Non si sa mai...

    > Perché non fare analogo led quando è acceso il microfono?

    Stessa storia della cam: scolleghi il cavo e buonanotte.

    Per quanto riguarda invece i mic-integrati: se non si ha bisogno del mic, rimuovere/pasticciare i drivers, cosicché non possa più funzionare correttamente. Se invece si ha bisogno del mic, dotarsi di nastro adesivo fono-assorbente da piazzare sulla zona interessata quando non lo si utilizza.

    Alla fine, basta giusto un minimo di furbizia, e nemmeno l'NSA potrà più spiare alcunché.
    non+autenticato
  • Non è questione di paranoia ma di mero design, questo fa capire non tanto la disonestà di qualcuno che alla fine è sempre esistita quanto il fatto che il nostro modello di sviluppo dev'essere ripensato, proprio per ridurre certi comportamenti, per lo meno non lasciarli esistere a livello sistemico.
    non+autenticato
  • - Scritto da: xtecheccha
    > - Scritto da: xte
    >
    > > Pensate solo ad una banalità: perché
    > > il led delle telecamere anziché essere un
    > > semplice ponticello sull'alimentazione della
    > > camera è controllato via software? È più
    > > complesso e costoso far così che non metterlo in
    > > parallelo all'alimentazione della camera
    > > (tipicamente una banale USB ad uso "interno"),
    > > ma così si può accendere la camera ad insaputa
    > > dell'utente che altrimenti troverebbe il led
    > acceso.
    >
    > La soluzione per 'sta paranoia della webcam è
    > tanto vecchia quanto
    > banale:
    > scollegarla fisicamente o coprirla con del
    > semplice nastro adesivo nero quando non la si
    > usa. Precauzione che andrebbe adottata sempre,
    > sia che si usi software proprietario o meno. Non
    > si sa
    > mai...
    >
    > > Perché non fare analogo led quando è acceso il
    > microfono?
    >
    > Stessa storia della cam: scolleghi il cavo e
    > buonanotte.
    >
    > Per quanto riguarda invece i mic-integrati: se
    > non si ha bisogno del mic, rimuovere/pasticciare
    > i drivers, cosicché non possa più funzionare
    > correttamente. Se invece si ha bisogno del mic,
    > dotarsi di nastro adesivo fono-assorbente da
    > piazzare sulla zona interessata quando non lo si
    > utilizza.
    >
    > Alla fine, basta giusto un minimo di furbizia, e
    > nemmeno l'NSA potrà più spiare
    > alcunché.

    Certo, tu saresti furbo quanto panda rossa, se non di più, certo più furbo dell'nsa, una volpe guarda.
    non+autenticato
  • - Scritto da: super stokkista

    > Certo, tu saresti furbo quanto panda rossa, se
    > non di più, certo più furbo dell'nsa, una volpe guarda.

    E dimmi tu come farebbero a guardarmi tramite una cam imbrattata di nastro adesivo nero? E dimmi anche come farebbero a sentirmi tramite un mic coperto da materiale fono-assorbente?

    Che poi all'nsa abbiamo altri modi per spiarti, magari via backdoors/exploits, non cambia il fatto che una cam o un mic conciati a quel modo sono inutilizzabili pure per loro.
    non+autenticato
  • A me non frega niente dell'assistente vocale ma potrebbe interessare persone disabili. E mi frega poco e niente anche della presunta possibilita'
    di essere spiato tramite webcam o microfono dal momento che ho una webcam con tappo dell'obbiettivo e che quando sono al pc di solito non parlo. X-)

    Comunque cosa volete che gli freghi di profilare a quel modo, quando con analogo ragionamento paranoico potrebbero tracciare qualsiasi attivita' svolta al computer.

    Comunque ricordo che i dati da qualche parte devono passare in rete e non e' un impresa titanica con tutta la gente che c'e' individuare un keylogger o roba simile osservando il traffico in rete generato dal vostro pc.

    State sereni, vi profilano ma piu' o meno raccatteranno gli stessi dati che anche voi siete coscienti di lasciare a spasso.
    non+autenticato
  • Non è una buona risposta, la risposta dovrebbe essere cambiare modello evolutivo per evitare/ridurre certi fenomeni, uno funzionante e testato accidentalmente lo abbiamo già da decenni, si chiama software libero.
    non+autenticato
  • - Scritto da: xte
    > Non è una buona risposta, la risposta dovrebbe
    > essere cambiare modello evolutivo per
    > evitare/ridurre certi fenomeni, uno funzionante e
    > testato accidentalmente lo abbiamo già da
    > decenni, si chiama software
    > libero.

    Capisco ma il dato di fatto e' che ad oggi non
    tutto il software e' software libero e quel modello,
    di cui io sono assolutamente un tifoso, bisogna
    riconoscere che non si adatta ad ogni dominio
    applicativo. Ci sono ambiti in cui se non ti tieni
    i sorgenti il tuo software te lo fottono/copiano
    e non te lo pagano dunque, casomai, bisognerebbe
    cercare un modo di costringere, alla luce del sole,
    di renumerare il software senza che chi si e' sbattuto
    per scriverlo finisca per non guadagnarci nulla.

    Si, lo so che libero != gratis e bla bla bla...
    ma un conto e' essere un colosso che riesce a
    guadagnare dai servizi connessi con il software
    rilasciato con licenza libera, o talmente diffuso da
    ripagarsi con pubblicita' e affini.
    Un altro conto e' essere una una piccola azienda che
    sviluppa software di nicchia e che ha il suo capitale
    nella proprieta' intellettuale del software che
    produce e che SOPRAVVIVE VENDENDOLO.


    Tutti eroi della liberta' ma...
    ...con il kiulo degli altri!
    non+autenticato
  • - Scritto da: sxs
    > - Scritto da: xte
    > > Non è una buona risposta, la risposta
    > dovrebbe
    > > essere cambiare modello evolutivo per
    > > evitare/ridurre certi fenomeni, uno
    > funzionante
    > e
    > > testato accidentalmente lo abbiamo già da
    > > decenni, si chiama software
    > > libero.
    >
    > Capisco ma il dato di fatto e' che ad oggi non
    > tutto il software e' software libero e quel
    > modello,
    > di cui io sono assolutamente un tifoso, bisogna
    > riconoscere che non si adatta ad ogni dominio
    > applicativo. Ci sono ambiti in cui se non ti tieni
    > i sorgenti il tuo software te lo fottono/copiano
    > e non te lo pagano dunque, casomai, bisognerebbe
    > cercare un modo di costringere, alla luce del
    > sole,
    > di renumerare il software senza che chi si e'
    > sbattuto
    > per scriverlo finisca per non guadagnarci nulla.
    >
    > Si, lo so che libero != gratis e bla bla bla...
    > ma un conto e' essere un colosso che riesce a
    > guadagnare dai servizi connessi con il software
    > rilasciato con licenza libera, o talmente diffuso
    > da
    > ripagarsi con pubblicita' e affini.
    > Un altro conto e' essere una una piccola azienda
    > che
    > sviluppa software di nicchia e che ha il suo
    > capitale
    > nella proprieta' intellettuale del software che
    > produce e che SOPRAVVIVE VENDENDOLO.
    >
    >
    > Tutti eroi della liberta' ma...
    > ...con il kiulo degli altri!

    guarda che quel modello, e stato creato dai BIG in modo consapevole, loro possono permettersi di 'regalare software' le aziende medie piccole no!

    E servire servizi più o meno gratuiti anche l'azienduccia non può farlo minimamente, non e colpa dei libertari che tu critichi, ma dell'utonto finale che crede che tutto quanto graviti intorno ad un pc e gratisss!
    non+autenticato
  • - Scritto da: super stokkista
    > guarda che quel modello, e stato creato dai BIG
    > in modo consapevole, loro possono permettersi di
    > 'regalare software' le aziende medie piccole
    > no!

    E' quello che volevo dire anche io infatti!


    > E servire servizi più o meno gratuiti anche
    > l'azienduccia non può farlo minimamente, non e
    > colpa dei libertari che tu critichi, ma
    > dell'utonto finale che crede che tutto quanto
    > graviti intorno ad un pc e gratisss!

    Ma chi parla di "colpe"?!? Mah!
    non+autenticato
  • avete notato che zitto zitto, Maruccia è diventato "il postatore di maggioranza" di PI? sparito tamburrino, sparito annunziata, sparita la botta', galimberti non pervenuto.... il giorno che maruccia finisce sotto un camion, PI chiude la baracca.
    non+autenticato
  • - Scritto da: ...
    > avete notato che zitto zitto, Maruccia è
    > diventato "il postatore di maggioranza" di PI?
    > sparito tamburrino, sparito annunziata, sparita
    > la botta', galimberti non pervenuto.... il giorno
    e oltretutto i post spesso non sono neanche granche'Con la lingua fuori

    > che maruccia finisce sotto un camion, PI chiude
    > la
    > baracca.
    questa si che sarebbe una tragedia.
    non+autenticato
  • - Scritto da: ...
    > avete notato che zitto zitto, Maruccia è
    > diventato "il postatore di maggioranza" di PI?
    > sparito tamburrino, sparito annunziata, sparita
    > la botta', galimberti non pervenuto.... il giorno
    > che maruccia finisce sotto un camion, PI chiude
    > la baracca.

    secondo me tambiurrino e & hanno tagliato la corda perche pi non paga un catzum, maruccia e' restato perche non ha migliori alternative. Ma vedila cosi': se posta solo lui, per quanto lo paghino tre euro al pezzo, tanti 3 euro fanno una sommetta. 200 articoli sono seicento euro, 20 giorni/mese, dieci articoli/giorno.... eh, no ce la fa. ok, molto piu' realistico un 3 articoli/giorno, 9 euro/giorno, 180 euro/mese. cristo, e' veramente una miseria.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > avete notato che zitto zitto, Maruccia è
    > > diventato "il postatore di maggioranza" di PI?
    > > sparito tamburrino, sparito annunziata, sparita
    > > la botta', galimberti non pervenuto.... il
    > giorno
    > > che maruccia finisce sotto un camion, PI chiude
    > > la baracca.
    >
    > secondo me tambiurrino e & hanno tagliato la
    > corda perche pi non paga un catzum, maruccia e'
    > restato perche non ha migliori alternative. Ma
    > vedila cosi': se posta solo lui, per quanto lo
    > paghino tre euro al pezzo, tanti 3 euro fanno una
    > sommetta. 200 articoli sono seicento euro, 20
    > giorni/mese, dieci articoli/giorno.... eh, no ce
    > la fa. ok, molto piu' realistico un 3
    > articoli/giorno, 9 euro/giorno, 180 euro/mese.
    > cristo, e' veramente una
    > miseria.

    Si e davvero una miseri, ma dobbiamo dire anche che pure lui è un povero cristo!
    non+autenticato
  • - Scritto da: ...

    > ok, molto piu' realistico un 3 articoli/giorno,
    > 9 euro/giorno, 180 euro/mese.
    > cristo, e' veramente una miseria.

    Altro che miseria, ci fai di più ad uppare roba sui filehosting o a minare.A bocca aperta Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > avete notato che zitto zitto, Maruccia è
    > diventato "il postatore di maggioranza" di PI?
    > sparito tamburrino, sparito annunziata, sparita
    > la botta', galimberti non pervenuto.... il giorno
    > che maruccia finisce sotto un camion, PI chiude
    > la
    > baracca.

    Nah, basta mettere un bot capace di postare ad intervalli regolari le parole linux-apple-microsoft in articoli composti soltanto dal titolo per scatenare la barbarie fra i lettori di PI. L' articolo in sè non se lo fila nessuno.
    non+autenticato
  • - Scritto da: tre pallini
    > - Scritto da: ...
    > > avete notato che zitto zitto, Maruccia è
    > > diventato "il postatore di maggioranza" di PI?
    > > sparito tamburrino, sparito annunziata, sparita
    > > la botta', galimberti non pervenuto.... il
    > giorno
    > > che maruccia finisce sotto un camion, PI chiude
    > > la
    > > baracca.
    >
    > Nah, basta mettere un bot capace di postare ad
    > intervalli regolari le parole
    > linux-apple-microsoft in articoli composti
    > soltanto dal titolo per scatenare la barbarie fra
    > i lettori di PI. L' articolo in sè non se lo fila
    > nessuno.

    eh no! io leggo titolo, sottotitolo e anche le parole in grassetto nel testo.
    sono un postatore evoluto! EVOLUTOOOO!!! PORCAMADONNA LO CAPISCI O NOOOO??????
    non+autenticato
  • Oh! Oooh!!!
    Ohh, ohohhhhooooo!!!

    Oh, oh, ohhohohohohoho!!!
    Oh! Oooh!!!
    Ohh, ohohhhhooooo!!!

    Oh, oh, ohhohohohohoho!!!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)