Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Vista's spraakopdrachten potentieel veiligheidsgat

Vista's spraakopdrachten potentieel veiligheidsgat

Door Martin Sturm, vrijdag 2 februari 2007 00:15
Bron: ZDNet, submitter: Raine, views: 32.389

Hoewel er tot nu toe nog geen serieuze veiligheidsgaten zijn ontdekt in Windows Vista, duiken nu de eerste berichten op over een mogelijk veiligheidsprobleem in het besturingssysteem. De spraakherkenningsfunctie zou het mogelijk maken om op afstand ongemerkt bestanden te wissen.

Vista speech recognitionSebastian Krahmer bedacht dat het theoretisch mogelijk zou zijn om door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken. George Ou, blogger op ZDNet, besloot dit idee uit te proberen en ontdekte dat dit inderdaad werkt. Inmiddels heeft Microsoft de potentiële veiligheidsfout in Vista erkend, en zou het bedrijf aan maatregelen werken. De Vista spraakherkenning maakt het mogelijk om door middel van gesproken commando's taken uit te voeren, waaronder het verwijderen van bestanden. Wanneer geluidsbestanden met gesproken opdrachten worden afgespeeld via de luidsprekers die zijn aangesloten op een computer, blijkt Vista dit ook te verwerken als gesproken commando's. Uit de test van Ou bleek het mogelijk te zijn om op deze manier hele directories te verwijderen en de prullenbak te legen. Hierdoor is het dus mogelijk om bijvoorbeeld via een website die automatisch geluidsbestanden afspeelt, gegevens te verwijderen op een Vista-pc.

In een eerste reactie op de verhalen heeft Microsoft erkend dat er een mogelijk probleem is en adviseert mensen om de luidsprekers uit te zetten en, wanneer er een geluidsbestand wordt afgespeeld dat de spraakherkenning activeert, Windows Media Player uit te schakelen en de computer opnieuw op te starten. Andere systemen die een dergelijk spraakbesturingssysteem gebruiken, maken volgens Ou gebruik van sleutelwoorden of pincodes die moeten worden uitgesproken wanneer 'gevaarlijke' opdrachten worden gegeven, waardoor dit veiligheidsprobleem grotendeels voorkomen wordt. Ook zou een oplossing kunnen bestaan uit het negeren van commando's die uit de luidsprekers van de computer komen. De beperking van de standaard rechten van de gebruiker in Vista voorkomt het overigens dat cruciale systeembestanden kunnen worden verwijderd.

Volgende 09:01
Vorige 23:50
Gesponsorde link
Arjen (House) logo ICT nog slimmer inzetten?

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 125 reacties zichtbaar1250 Off-topic / Irrelevant: 124 reacties zichtbaar124+1 On-topic: 93 reacties zichtbaar93+2 Informatief: 23 reacties zichtbaar23+3 Must-read: 3 reacties zichtbaar3
«  1  2  3  4  5  6  7  »

Door jealma, vrijdag 2 februari 2007 00:16

Score: 0
Dat is echt een goeie!

Door Bazilfunk, vrijdag 2 februari 2007 00:19

Score: 1
Wow :+

Door W3ird_N3rd, vrijdag 2 februari 2007 00:38

Score: 3
U zei "wow".
Weet u zeker dat u Windows On Windows wilt activeren?
Antwoord in de microfoon met "Ja" of "Nee".

Door un1ty, vrijdag 2 februari 2007 07:19

Score: 1
"Mjoah, mag ik er nog even overna denken?"
-"Windows word gedeïnstalleerd"

Door Greyh0und, vrijdag 2 februari 2007 08:29

Score: 3
http://youtube.com/watch?v=2Y_Jp6PxsSQ

:P

of beter:

http://youtube.com/watch?v=kX8oYoYy2Gc

Door redstorm, vrijdag 2 februari 2007 13:10

Score: 0
lol, zeg je "dear mom" denk vista dat je "delete all" zegt, je zal maar net door je mijn documenten heen aan het bladeren zijn :P

Door bbr, vrijdag 2 februari 2007 08:59

Score: 0
world of warcraft ;P

Door hAl, vrijdag 2 februari 2007 20:34

Score: 2
Vooral Wow over het niveau dat de spraakherkenning van Vista heeft.
Dat is echt supergoede reclame !!

Door geez, vrijdag 2 februari 2007 00:21

Score: 1
De meeste mensen zullen hun microfoon/speakers zo opgesteld hebben, dat er geen loopback is, of zelfs een headset hebben. Bovendien moet je wel heel traag zijn met het uitzetten van je programma/speakers om het de kans te geven imho. Wel leuk gevonden though :)

Door Top-Rob, vrijdag 2 februari 2007 03:39

Score: 2
De meeste mensen zullen hun microfoon/speakers zo opgesteld hebben, dat er geen loopback is, of zelfs een headset hebben.
Ik vraag het me af... misschien is een zacht geluidje al voldoende en dan ontsnapt een headset ook niet aan dit probleem... Is er een Vista-gebruiker die het kan testen?
Bovendien moet je wel heel traag zijn met het uitzetten van je programma/speakers om het de kans te geven imho.
Ik denk dat dat wel meevalt. Ik heb het niet in werking gezien maar iets in de prullenbak gooien lijkt me zo gebeurd. Bovendien zullen het gros van de (doorsnee) gebruikers echt niet ineens bovenop hun speakers springen om ze uit te schakelen als ze iets horen in de trant van: "verwijder map windows" (bij wijze van spreken).

Gelukkig werkt het niet op een gebruiker met standaard rechten. Dat scheelt een slok op een borrel.

btw: Een advies om de luidsprekers uit te zetten (alhoewel in dit geval vast terecht) is wel erg droog, lol.

Door Dutch_Razor, vrijdag 2 februari 2007 10:32

Score: 1
Ik heb m'n microfoon op +20 Db gezet anders reageerde ie niet en nog moet ik vrij hard praten, zou die gain ook gelden voor uit de luidspreker afkomstige dingen?

Door addefinnr, vrijdag 2 februari 2007 22:22

Score: 1
Nee,... je microfoon werkt alleen als jij praat.

Door YaPP, vrijdag 2 februari 2007 09:08

Score: 2
De meeste mensen zullen hun microfoon/speakers zo opgesteld hebben, dat er geen loopback is, of zelfs een headset hebben.
Lees de bron maar.. de testpersoon had zijn speakers zacht staan en het werkte nog steeds.

Voor de spaakhgerkenning wil je ook gewoon op normaal niveau praten, niet schreeuwen.

Door AHBdV, vrijdag 2 februari 2007 15:12

Score: 1
Er staat in de bron zeer zeker niet dat het geluid zacht stand.

Het eerste deel van het artikel geeft toch een redelijk stevig geluidsniveau aan:
When I played back the sound file with the speakers turned up loud, it actually engaged the speech command system and fired up the start menu. I had to try a few more times to get the audio recording quality high enough to get the exact commands I wanted but the shocking thing is that it worked!
Een latere update van het artikel zwakt dat wat af:
Someone asked me how loud I had the speakers. To my surprise, not very loud at all and I was shocked at how well it worked.
Ik denk dat we hieruit mogen lezen dat het niet nodig was om het geluid idioot hard te zetten, maar dat normale gemiddelde geluidssterkte voldoende was.

Maar ik denk dat je een tikkie te ver gaat wanneer je dit interpreteert alsof het geluid erg zacht stond.

(Bold toegevoegd in the quotes...)

Door Scorpion1984, vrijdag 2 februari 2007 11:21

Score: 0
Ik neem aan, dat je spraakservice compleet uit kan zetten. Opgelost :7

Door babyxl, zaterdag 3 februari 2007 17:04

Score: 1
De meeste mensen zullen hun microfoon/speakers zo opgesteld hebben, dat er geen loopback is, of zelfs een headset hebben.
Het zal je verbazen hoeveel mensen dat niet hebben. Overmodulatie en galmen/echo's all-the-way.. Ik merk het met name in games waar je ook voice-chat in hebt (Flatout 2, Test Drive Unlimited Beta & Battlefield 2 om er maar ff een paar te noemen). Een van de redenen waarom ik de zog. voice functie altijd uitzet.

Mensen zetten alles maar expres op voluit in de veronderstilling dat het dan wel goed werkt.

Door Dexter, vrijdag 2 februari 2007 00:22

Score: 1
Ben ik toch wel heel erg benieuwd waarom dit principe niet al in de beta-fase onderkend/ontdekt en of ondervangen is? Ik snap wel dat Vista nu voor een veel groter publiek toegankelijk is, maar toch.

Door killingdjef, vrijdag 2 februari 2007 00:24

Score: 3
Omdat dit gewoon creatief doorgraven is totdat je een bug vindt... en eigelijk is het nog geneens een bug maar gewoon een manier om iemand te treiteren.

Dit een bug noemen is gelijk aan "phising" een computer virus te noemen

Door mike_mike, vrijdag 2 februari 2007 11:12

Score: 0
Geen bug? In ieder geval wel wederom een voorbeeld dat MS allerlei overbodige functies in een OS meeleveren die 0.1% van de mensen gebruiken maar voor 100% een risico kan veroorzaken. Wie zit er nou op voiceherkenning te wachten?

In het verleden ook genoeg voorbeelden van javascript dingen die standaard aanstonden voor outlook etc. NIEMAND die het gebruikte, maar het veroorzaakte wel allerlei inbraak mogelijkheden. Zou technisch gezien ook geen bug moeten heten. Maar een open deur is wel degelijk een veiligheidsrisico te noemen, hoe goed bedoeld die open deur ook kan zijn. Als voiceherkenning standaard ook aan staat (dat weet ik niet), dan noem ik dit een HEEL ernstig veiligheidsrisico. "snel je speakers uitzetten en opletten" is natuurlijk absurd.

Het is toch wel kenmerkend voor MS dat ze zoveel mogelijk dingen standaard meeleveren en aanzetten om zo groot mogelijk marktaandeel van andere leveranciers alvast weg te maaien (voice herkenning software van derden?). Doordachte security heeft daarbij geen prioriteit, omdat dat ook niet nodig is voor een monopolist. De klanten lopen toch niet weg, maar je haalt er wel potentieel meer binnen als je meer dingen standaard melevert, je hebt dus niets te verliezen en dat leidt tot een slordig veiligheidsbeleid in het algemeen.

Door Rakkerzero, vrijdag 2 februari 2007 14:26

Score: 1
Wie zit er nou op voiceherkenning te wachten?
Mensen die door een lichamelijk handicap moeilijk de PC kunnen gebruiken.

Door mike_mike, zaterdag 3 februari 2007 03:00

Score: 1
Mensen die door een lichamelijk handicap moeilijk de PC kunnen gebruiken.
Ik zeg niet dat NIEMAND erop zit te wachten. Ik bedoel dat 99% van de gebruikers het niet nodig heeft, en het dus raar is standaard toe te voegen.

Door BartOtten, vrijdag 2 februari 2007 00:25

Score: 0
Zou jij het bedacht hebben? Daarom.

Overbodig? Volgens mij zeg ik exact waarom het niet ontdekt is tijdens het beta-testen. Om de simpele reden dat het een vrij creatieve gedachte is en (bijna) niemand zoiets bedenkt...

Door Laagvliegerke, vrijdag 2 februari 2007 00:24

Score: 2
Er moet wel opgemerkt worden dat de spraakherkenning getraind wordt om de stem van de gebruiker beter te herkennen. Commando's ingesproken door iemand anders zullen dus minder goed werken.

Door Gomez12, vrijdag 2 februari 2007 00:32

Score: 2
Als het een willekeurig persoon zou zijn dan gaat het minder goed werken...

Maar ik denk dat er binnenkort toch wel een paar wav-files vrijkomen (tegen betaling) van mensen waarbij de voicerecognition perfect werkt...

En dan mag jij raden of men willekeurige mensen gebruikt of de betaalde wavjes.

Alhoewel ik de oplossing van MS wel prachtig vind, speakers uitzetten. Daar gaat mijn achtergrond muziek dan :)

Door Laagvliegerke, vrijdag 2 februari 2007 11:17

Score: 1
Ah. Het zal wel zo'n vaart niet lopen. Voor zover ik weet, staat de spraakherkenning standaard uitgeschakeld. Niet iedereen zal de spraakherkenning gebruiken dus zal die bij velen uitgeschakeld blijven. Ook niet iedereen heeft een microfoon of die staat ook uitgeschakeld. En de opstelling van de luidsprekers en de microfoon zal ook wel een kleine rol spelen. Allemaal factoren waardoor het net niet zou kunnen werken. Vandaar dat het een potentieel veiligheidsgat is. :)
Maar het is wel grappig en goed gevonden. :P En natuurlijk moet er oplossing komen.

Door Lennart_1337, vrijdag 2 februari 2007 00:29

Score: 2
Zit je met iemand te skypen en ben je boos op de andere persoon, gewoon even format c:/q roepen en je ben er zo vanaf :+

Door .Johnny, vrijdag 2 februari 2007 10:05

Score: 1
Jongens, niet meteen in paniek raken; als je User Account Control aan hebt staan kun je in elk geval dat soort commando's niet met voice uitvoeren. JE weet wel, die zogenaamde "irritante" bevestigingsvragen van Vista, die nu toch niet zo heel erg dom blijken... die kun je dus ook expres niet met voice bedienen.

format c: kun je dus wel vergeten.

De echte oplossing lijkt me ook niet zo'n pin of gesproken password, maar eerder het filteren van input door met de huidige output van de pc te vergelijken. Echo cancelation werkt ook zo, dus dat moet niet heel moeilijk te implementeren zijn.

@dutch_razor; ik loop hier natuurlijk niet uit mn duim te zuigen. Ik ben al een paar dagen aan het testen met speech recognition. UAC kun je niet bedienen met Speech.

@munters; daar heb je dus UAC als beveiliging tussen zitten. Een keylogger krijg je niet zomaar geinstalleerd.

Door ATS, vrijdag 2 februari 2007 10:09

Score: 2
Ach, het deleten van de inhoud van je My Documents (of hoe dat tegenwoordig ook heten mag) is vervelend genoeg hoor! Ik snap niet dat mensen zich zo druk maken over het wissen van systeembestanden. Alsof dat je écht belangrijke bestanden zijn. Je systeem opnieuw installeren kost een paar uur, hoeveel uur werk zit er in je eigen bestanden?

Door Munters, vrijdag 2 februari 2007 10:54

Score: 1
Daar heb je helemaal gelijk in.
Maar het meeste gevaar tegenwoordig is niet meer het vernagelen van je systeem, maar het achterhalen van geheime informatie voor geldelijk gewin.

En je hoeft ook helemaal geen ingewikkelde text commando's te geven, dat kan gewoon in een (ingewikkeld) script op een vage webpagina. Hoef je daar via text recognition alleen maar heen te surfen.

"start internet explorer .... ga www . keylogger . ru "
(voorbeeldje hoor, misschien is dit wel een hele normale website).

edit: wat spaties toegevoegd, het werd steeds een echte link

Door Dutch_Razor, vrijdag 2 februari 2007 10:54

Score: 1
Werkt UAC niet ook via voice control? Ik zou het moeten testen, aangezien ik het uit heb staan maar volgens mij wel want ze zeggen dat je alles kan doen wat je muis en tobo ook kan.

Door sanderev66, vrijdag 2 februari 2007 12:37

Score: 1
Dan roepen we hard: "Shutdown".

Door Mizitras, vrijdag 2 februari 2007 00:32

Score: 0
Zet je Text-to-speech software maar aan (zit bij je WindowsXP en Vista!):

Delete system files
yes
yes
yes all
ignore
ok

Door skralan, vrijdag 2 februari 2007 00:35

Score: 2
Microsoft kennende komen ze met volgende oplossing: Weet u zeker dat u de ingesproken commando's wil uitvoeren? [ja] [neen]

Zodat de handigheid van spreken weer wordt weggenomen en interactie via toetsenbord of muis vereist wordt :+ .

Door Muscrerior, vrijdag 2 februari 2007 07:34

Score: 0
laat maar...ik moet beter lezen |:(

Door SPee, vrijdag 2 februari 2007 17:22

Score: 1
Je mag het ook via spraak bevestigen :+

Door Shinji, vrijdag 2 februari 2007 00:35

Score: 2
Begrijp ik goed dat je zonder dat het spraakherkenningsprogramma aan staat, die dit wel aan kan zetten door middel van spraakherkenning (oftewel, het draait soort van al)
-> "door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken"

//edit
Dubbele ontkenning verwijderd :)

Door geenstijl, vrijdag 2 februari 2007 00:49

Score: 1
Precies, interessant punt.
Ben benieuwd of iemand hier uitsluitsel over kan geven.
Zou wel erg vreemd zijn als dit inderdaad zo werkt, dat het dus al gewoon draait.

Door Rataplan, vrijdag 2 februari 2007 01:02

Score: 2
Nope. Spraakherkenning moet wel draaien, maar het vereist een trefwoord om actief te worden ('wake'). Dat laatste wordt hier bedoeld.

Door Cameleon73, vrijdag 2 februari 2007 11:50

Score: 1
"Wake" als activeringswoord? Hmmm... dan moet ik maar geen Wham draaien als ik in Word bezig ben ... wordt telkens "me up before you go go" ingevoegd :)

Door Dutch_Razor, vrijdag 2 februari 2007 14:14

Score: 1
Je moet eerst voice recognistion configureren, en dan nog moet je het programma eerst op starten (of laten opstarten met windows), waarna je "start listening" moet zeggen.

Door KimG, vrijdag 2 februari 2007 00:38

Score: 2
Damn ... dit mag men vriendin zeker niet te weten komen! Als ik dan nog eens achter de PC blijf hangen kan ze roepen" shutdown computer" :+ of "delete porn" :9

Nee serieus ... dit is toch te dom voor woorden ... raar dat men dit niet eerder had ontdekt :)

Door weeraanmelden, vrijdag 2 februari 2007 17:28

Score: 1
Dom dom...
Keerzijde van , en ik neem aan dat deze tester de Pc zo ingesteld heeft, dat hij alle maar dan ook alle rechten heeft / zo aangepast dat Vista niets meer vraagt.

Beetje flauw om dit een bug, foutje te noemen of " DzEeS.. Dat M$ D1t Ni3T 3eRd3R g3Z13n H33Ft!?!"
Dit is namelijk gewoon de keerzijde van de medialle.
«  1  2  3  4  5  6  7  »

Op dit item kan niet meer gereageerd worden.

Volgende 09:01
Vorige 23:50
VNU Media logo Powered by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: