image

Cortana liet aanvaller browsen op vergrendelde computer

woensdag 15 augustus 2018, 10:47 door Redactie, 25 reacties

De spraakassistent van Microsoft genaamd Cortana maakte het mogelijk voor aanvallers om op vergrendelde computers te browsen. Dat laat anti-virusbedrijf McAfee weten. In juni lieten onderzoekers van de virusbestrijder al zien dat Cortana een aanvaller op een vergrendelde computer liet inloggen.

Er bleken echter ook nog andere aanvalsvectoren te zijn die via de spraakassistent konden worden uitgebuit. Zo was het vanaf een vergrendelde computer mogelijk om via een spraakopdracht allerlei willekeurige websites te bezoeken en zelfs links te openen, reacties te plaatsen en op accounts van de gebruiker in te loggen. Cortana biedt vanaf een vergrendelde computer bijvoorbeeld de optie om via een spraakopdracht naar huizen te zoeken.

Via het privacybeleid van deze pagina waren allerlei socialmediaknoppen beschikbaar, zoals die van Twitter, Facebook of YouTube. Daarvandaan was weer de rest van het internet te bereiken. "Iedereen met fysieke toegang tot je vergrendelde computer kan het internet opgaan. Wat als iemand vanaf jouw apparaat naar een voor het werk ongeschikte website gaat, of opruiende reacties op een openbaar forum plaatst die naar het ip-adres van jouw apparaat zijn te herleiden", stelt Cedric Cochin van McAfee. Microsoft heeft gisteren een beveiligingsupdate uitgebracht die voorkomt dat Cortana vanaf een vergrendelde computer naar willekeurige websites kan gaan.

Reacties (25)
15-08-2018, 10:55 door Anoniem
Tja nieuwe functies blijven oude fouten herhalen. Dit ligt een beetje in het verlengde van kiosk mode / shell escapes. Altijd leuk om te kijken hoe je er uit kunt breken.
15-08-2018, 11:17 door buttonius
Microsoft heeft gisteren een beveiligingsupdate uitgebracht die voorkomt dat Cortana vanaf een vergrendelde computer naar willekeurige websites kan gaan.
Wat een minimalistische fix. Was het niet veel beter geweest als Cortana op een vergrendelde computer helemaal niet werkt, of (als het toch een beetje moet werken) alleen zaken kan doen die de gebruiker stuk voor stuk expliciet heeft goedgekeurd?
15-08-2018, 11:46 door Anoniem
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
15-08-2018, 11:56 door karma4 - Bijgewerkt: 15-08-2018, 12:20
Door buttonius:
Wat een minimalistische fix. Was het niet veel beter geweest als Cortana op een vergrendelde computer helemaal niet werkt, of (als het toch een beetje moet werken) alleen zaken kan doen die de gebruiker stuk voor stuk expliciet heeft goedgekeurd?
Het bekende probleem, hoe wil je ontgrendelen als alles vergrendeld is. Geen sleutel om dat te kunnen doen.
Zet spraakherkenning liever uit tenzij …


Door buttonius:
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
Ah weer iemand die enkel op flaming uit is. Net als siri of de google variant ok google (smartphones) kun je het uitzetten. De enige uitzondering waar je het niet uit kunt zetten. Amazon Echo Alexa.
De eerste versie 10 Cortana hadden niet eens iets voor nederlands. Ik ziet het nog steeds niet bij spraakherkenning een optie om het aan te zetten.
Ga je nu weer zeuren dat je met een cloud connectie toch zeker eerst dat gereed moet hebben om uit te rollen.
Wat is je desktop Linux alternatief voor spraak gestuurde commando's?
15-08-2018, 12:23 door Anoniem
De enige uitzondering waar je het niet uit kunt zetten. Amazon Echo Alexa.
Dus kun je het niet uitzetten, en blijkbaar is het ook nog spayware.
15-08-2018, 12:29 door buttonius
Door karma4:
Door buttonius:
Wat een minimalistische fix. Was het niet veel beter geweest als Cortana op een vergrendelde computer helemaal niet werkt, of (als het toch een beetje moet werken) alleen zaken kan doen die de gebruiker stuk voor stuk expliciet heeft goedgekeurd?
Het bekende probleem, hoe wil je ontgrendelen als alles vergrendeld is. Geen sleutel om dat te kunnen doen.
Zet spraakherkenning liever uit tenzij …
...
De meeste computers hebben altijd nog een toetsenbord (of een schermtoetsenbord). Lijkt me een prima optie voor systemen waarop Cortana niet is ingesteld om (middels stemherkenning?) het systeem te ontgrendelen.
15-08-2018, 12:37 door Anoniem
Door Anoniem: Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
Cortana staat gewoon uit bij mij. Misschien moet je alleen dingen roepen als je het OS ook daadwerkelijk kent.
15-08-2018, 12:39 door Anoniem
Geen last van, bij mij staat alles uit en ik heb regels aangemaakt in regedit.
15-08-2018, 12:42 door karma4
Door buttonius:
De meeste computers hebben altijd nog een toetsenbord (of een schermtoetsenbord). Lijkt me een prima optie voor systemen waarop Cortana niet is ingesteld om (middels stemherkenning?) het systeem te ontgrendelen.
Zoals eerder opgemerkt standaard uit, ik hoef het niet en zo te zien werkt het niet eens in NL.
Stop eens een USB ding aan een locked machine, zou dat ding dan reageren of niet? (muis/toetsenbord … usb?)
15-08-2018, 13:02 door Anoniem
Sesam open u!
15-08-2018, 13:14 door -karma4 - Bijgewerkt: 15-08-2018, 13:51
Door karma4: Wat is je desktop Linux alternatief voor spraak gestuurde commando's?

Mycroft natuurlijk - https://mycroft.ai/ - net als Microsoft's Cortana maar dan zonder Microsoft! Én het is Open Source.
15-08-2018, 14:21 door Anoniem
Het hele "inloggen" met "accounts" op je eigen spullen bedekt één van de grootste smerigste leugens. Namelijk dat dat voor je eigen veiligheid is. Terwijl via de achterdeur door vele honderden firma's je prive aan flarden wordt getrokken. Zonder dat je daar weet van hebt of écht controle over hebt.

Ze zijn over elkaar heen gestruikeld. Een Google of Itunes account. Dan ook nog een Samsung account. Koop je een printer, hup ook nog een HP-account. Want accounts beschermen. Want dat is met een wachtwoord, weet je.

Als de consument ook ergens echt structureel belazerd is, dan is het wel met die wachtwoord-accounts. Totale misleiding.
15-08-2018, 14:21 door Anoniem
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.

LMFAO. Gewoon AllowCortana op waarde 0 zetten in je registry.

https://www.howtogeek.com/wp-content/uploads/2016/07/Disable-Cortana.zip
15-08-2018, 15:10 door -karma4 - Bijgewerkt: 15-08-2018, 15:12
Door karma4:
Door buttonius: Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
... Net als siri of de google variant ok google (smartphones) kun je het uitzetten. ...

Ja dat zal wel maar ik wil dat Cortana helemaal niet op mijn computer hebben! Het neemt alleen maar geheugen in beslag en vergroot het aantal potentiële aanvalsvectoren. Dus de vraag is of je het compleet kan verwijderen (of bij de installatie aangeven dat je het er niet op wil hebben). Als dat niet kan of moeilijk gaat dan getuigt dat inderdaad van minachting van Microsoft voor de gebruikers van haar software!
15-08-2018, 15:16 door karma4
Door The FOSS: .... Als dat niet kan of moeilijk gaat dan getuigt dat inderdaad van minachting van Microsoft voor de gebruikers van haar software!
Als je het nakijkt zul je zien dat het voor NL niet speelt, het bestaat niet. https://support.microsoft.com/en-us/help/4026948/windows-10-cortanas-regions-and-languages Om nu de coole hippe figuur uit te hangen... laat maar.
Dat is voor adepten weggelegd.
Ik houd me met andere zaken bezig. big data informatieveiligheid dat is weer te lastig voor os nerds.
15-08-2018, 18:31 door Anoniem
Door Anoniem:
Door Anoniem: Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
Cortana staat gewoon uit bij mij. Misschien moet je alleen dingen roepen als je het OS ook daadwerkelijk kent.

Misschien geldt dat voor jou. Je kunt Cortana niet makkelijk uitzetten en je kunt het proces niet stoppen.

Door Anoniem:
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.

LMFAO. Gewoon AllowCortana op waarde 0 zetten in je registry.

https://www.howtogeek.com/wp-content/uploads/2016/07/Disable-Cortana.zip

De optie om het uit te zetten is door Microsoft uit de interface gesloopt, gewone gebruikers kunnen het dus niet uitzetten tenzij ze poweruser of beheerder zijn en de benodigde kennis bezitten.

Cortana dient gewoon net als elk ander soortgelijk proces of driver uit te zetten te zijn. Het is erg duidelijk dat Microsoft dit alleen doet om zichzelf in de best mogelijke positie te manoeuvreren data te verzamelen. Minachting van de gebruikers dus.
15-08-2018, 19:27 door [Account Verwijderd]
Door karma4:
Door buttonius:
Wat een minimalistische fix. Was het niet veel beter geweest als Cortana op een vergrendelde computer helemaal niet werkt, of (als het toch een beetje moet werken) alleen zaken kan doen die de gebruiker stuk voor stuk expliciet heeft goedgekeurd?
Het bekende probleem, hoe wil je ontgrendelen als alles vergrendeld is. Geen sleutel om dat te kunnen doen.
Zet spraakherkenning liever uit tenzij …


Door buttonius:
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
Ah weer iemand die enkel op flaming uit is. Net als siri of de google variant ok google (smartphones) kun je het uitzetten. De enige uitzondering waar je het niet uit kunt zetten. Amazon Echo Alexa.
De eerste versie 10 Cortana hadden niet eens iets voor nederlands. Ik ziet het nog steeds niet bij spraakherkenning een optie om het aan te zetten.
Ga je nu weer zeuren dat je met een cloud connectie toch zeker eerst dat gereed moet hebben om uit te rollen.
Wat is je desktop Linux alternatief voor spraak gestuurde commando's?

Linux desktop gebruikers willen zulke flauwekul als Cortana / Alexia / Siri / Ok Google echt niet hebben. Spielerei...
15-08-2018, 19:31 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Anoniem: Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.
Cortana staat gewoon uit bij mij. Misschien moet je alleen dingen roepen als je het OS ook daadwerkelijk kent.

Misschien geldt dat voor jou. Je kunt Cortana niet makkelijk uitzetten en je kunt het proces niet stoppen.

Door Anoniem:
Cortana moet gewoon uit kunnen worden gezet als de gebruiker dat niet wil. Dat dit niet "kan" is teken van minachting van Microsoft voor gebruikers. Gebruikers zijn dataproducenten en Windows 10 is een dataverzamelstation.

LMFAO. Gewoon AllowCortana op waarde 0 zetten in je registry.

https://www.howtogeek.com/wp-content/uploads/2016/07/Disable-Cortana.zip

De optie om het uit te zetten is door Microsoft uit de interface gesloopt, gewone gebruikers kunnen het dus niet uitzetten tenzij ze poweruser of beheerder zijn en de benodigde kennis bezitten.

Cortana dient gewoon net als elk ander soortgelijk proces of driver uit te zetten te zijn. Het is erg duidelijk dat Microsoft dit alleen doet om zichzelf in de best mogelijke positie te manoeuvreren data te verzamelen. Minachting van de gebruikers dus.

Juist, Jan met de Pet (de doorsnee Windows 10 home gebruiker) weet niet eens wat een registry is en moet gewoon bij instellingen dit met een schakelaar uit kunnen zetten. Microsoft minacht al jaren gebruikers terwijl de gebruikers er wel voor betaald hebben.
15-08-2018, 19:34 door [Account Verwijderd] - Bijgewerkt: 15-08-2018, 19:37
Door karma4:
Door The FOSS: .... Als dat niet kan of moeilijk gaat dan getuigt dat inderdaad van minachting van Microsoft voor de gebruikers van haar software!
Als je het nakijkt zul je zien dat het voor NL niet speelt, het bestaat niet. https://support.microsoft.com/en-us/help/4026948/windows-10-cortanas-regions-and-languages Om nu de coole hippe figuur uit te hangen... laat maar.
Dat is voor adepten weggelegd.
Ik houd me met andere zaken bezig. big data informatieveiligheid dat is weer te lastig voor os nerds.

We weten inmiddels wel dat jij je als über IT'er boven de Linux gebruikers als FOSS en mij waant...

Ondanks dat je je met hogere zaken als informatie veiligheid bezighoud is het grappig hoe je toehapt zodra we kritisch zijn over W10 terwijl je beweert er niets mee te hebben.
15-08-2018, 20:09 door karma4
Door linux4:
We weten inmiddels wel dat jij je als über IT'er boven de Linux gebruikers als FOSS en mij waant...

Ondanks dat je je met hogere zaken als informatie veiligheid bezighoud is het grappig hoe je toehapt zodra we kritisch zijn over W10 terwijl je beweert er niets mee te hebben.

Als je enkel in staat bent om af te geven in een is flaming gebeuren is her zeker dat er geen verbetering komt.
Noch in awareness
Noch in behoorlijke doordachte imementaties
Noch in het nemen van verantwoordelijkheid

Daarmee ben je een probleem door dat ongefundeerde bashen.
15-08-2018, 21:08 door Anoniem
Door Anoniem: Geen last van, bij mij staat alles uit en ik heb regels aangemaakt in regedit.


whahhahhhahahahha en dan zou linux te moeilijk zijn en niet klaar voor de desktop?! yeah riiiight!

efin on topic.

was dit niet al oud nieuws? dit was een maandje of twee drie geleden toch ook al een issue?
15-08-2018, 21:19 door mankar
Door karma4:
Door linux4:
We weten inmiddels wel dat jij je als über IT'er boven de Linux gebruikers als FOSS en mij waant...

Ondanks dat je je met hogere zaken als informatie veiligheid bezighoud is het grappig hoe je toehapt zodra we kritisch zijn over W10 terwijl je beweert er niets mee te hebben.

Als je enkel in staat bent om af te geven in een is flaming gebeuren is her zeker dat er geen verbetering komt.
Noch in awareness
Noch in behoorlijke doordachte imementaties
Noch in het nemen van verantwoordelijkheid

Daarmee ben je een probleem door dat ongefundeerde bashen.

Ik wijs je er even op dat jezelf de flame gestart hebt met de zin "Ik houd me met andere zaken bezig. big data informatieveiligheid dat is weer te lastig voor os nerds.". Daarmee heb je de persoon waarop je reageerde een os nerd genoemd zonder enig fundament. Sterker nog je hebt een gehele groep mensen die zich heel belangrijk met OS bezig houden ook indirect beledigd. Begrijp jij wel dat zonder OS, jij geen kompjoeter en dus geen hipster big data kon doen? Jij hebt je inkomen aan OS nerds te danken! De vraag is eerder wat jij in IT wereld te bieden hebt met je constante stroom van kwetsende uitlatingen die flames starten op meerdere fora want inhoudelijk ben je duidelijk onder de maat en je engels is ook dunglish al.

dus... ga nu maar weer huilen naar de moderators en op die knop drukken om deze post te laten verwijderen, maar we weten allemaal wel hoe het spelletje hier op dit forum door jou gespeeld wordt!
15-08-2018, 23:31 door Bitwiper - Bijgewerkt: 15-08-2018, 23:31
@Mankar (zo te zien nog niet zo lang op dit forum): een normale discussie met karma4 is helaas onmogelijk.

Een voorbeeld van hoe karma4 zichzelf tegenspreekt zie je onderin mijn bijdrage in https://www.security.nl/posting/571529/Gezichtsherkenning#posting573145 (met tegenstrijdige tekst uit zijn eigen bijdragen). In karma4's reactie daarop (direct daaronder, waarbij karma4 die teksten gemakshalve weglaat) noemt hij mijn reactie "fud" en "op de man gespeeld". Dat in plaats van uit te leggen waarom iets in het ene geval zus is en het andere geval zo (ook al verschillen we van mening daarover, zoiets is denkbaar). Of door toe te geven dat je onderussen van mening bent veranderd. Dat doe ik ook wel eens; inzichten kunnen immers veranderen, maar desgevraagd zal ik dat altijd beargumenteren.
16-08-2018, 00:09 door Krakatau
Door Bitwiper: @Mankar (zo te zien nog niet zo lang op dit forum): een normale discussie met karma4 is helaas onmogelijk.

Een voorbeeld van hoe karma4 zichzelf tegenspreekt zie je onderin mijn bijdrage in https://www.security.nl/posting/571529/Gezichtsherkenning#posting573145 (met tegenstrijdige tekst uit zijn eigen bijdragen). In karma4's reactie daarop (direct daaronder, waarbij karma4 die teksten gemakshalve weglaat) noemt hij mijn reactie "fud" en "op de man gespeeld". Dat in plaats van uit te leggen waarom iets in het ene geval zus is en het andere geval zo (ook al verschillen we van mening daarover, zoiets is denkbaar).

Die ervaring heb ik dus ook. Recent nog: https://www.security.nl/posting/572915#posting573284.

Door Bitwiper: Of door toe te geven dat je onderussen van mening bent veranderd. Dat doe ik ook wel eens; inzichten kunnen immers veranderen, maar desgevraagd zal ik dat altijd beargumenteren.

Dat kan als je daarvoor slim genoeg bent. Dat geldt natuurlijk niet voor iedereen. Daar kunnen die mensen ook niets aan doen, als ze het maar zouden kunnen toegeven voor zichzelf.
16-08-2018, 07:29 door Bitwiper
Door Krakatau: Die ervaring heb ik dus ook. Recent nog: https://www.security.nl/posting/572915#posting573284
Ik zie het ja. Gister nog na een uitgebreide update naar de laatste W10 versie weer een heel stel beveiligingsinstellingen moeten terugzetten; de PC stond weer WPAD te blèren, Server service weer aan, weet een nieuwe virtuele netwerkadapter erbij die niet getoond wordt in het overzicht met network devices en in device manager, alle Bluetooth stond weer open etc. En tijdens de automatische reboot tussendoor hoefde ik geen Bitlocker wachtwoord in te voeren - zonder waarschuwing vooraf dat het om een tijdrovende operatie zou gaan waarbij de notebook onbeschermd is. Linux (nagenoeg alle software trouwens) is echter ook verre van perfect, maar daar spreek ik Microsoft niet op aan en andersom ga ik me niet over Ubuntu et al beklagen in discussies over de gatenkazen van Microsoft.

In de draad die ik aangaf heb ik eindeloos geprobeerd om, op basis van argumenten, een eerlijke discussie aan te gaan. Ik ben hier om te leren, dus laat ik me graag overtuigen als ik verkeerde inzichten heb. Ik ben ook maar een mens met een drukke baan en een leven naast ICT, en heb dus beperkte tijd om mijn kennis op peil te houden en soms wat uit te breiden.

Op sommige punten zijn karma4 en ik het eens (kopie ID-bewijs is geen ID-bewijs en een BSN kunnen reproduceren is evenmin authenticatie) maar op vergelijkbare vraagstukken (is authenticatie überhaupt mogelijk op basis van niet geheime -soms letterlijk op straat te vinden- informatie) neemt deze persoon onwrikbare tegenovergestelde standpunten in. Wat drijft zo iemand?

In elk geval frustreert het mij enorm hoe deze persoon veel discussies verziekt. Het komt vaak voor dat ik een bijdrage die ik zou willen posten maar oversla omdat deze persoon altijd het laatste woord wil hebben. En als dat niet kan op inhoudelijke argumenten, wordt al het "onrecht" in de rest van de wereld (OSS IoT IBM Apple etc.) tevoorschijn getoverd. Jammer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.