Vista's spraakopdrachten potentieel veiligheidsgat

Hoewel er tot nu toe nog geen serieuze veiligheidsgaten zijn ontdekt in Windows Vista, duiken nu de eerste berichten op over een mogelijk veiligheidsprobleem in het besturingssysteem. De spraakherkenningsfunctie zou het mogelijk maken om op afstand ongemerkt bestanden te wissen.

Vista speech recognitionSebastian Krahmer bedacht dat het theoretisch mogelijk zou zijn om door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken. George Ou, blogger op ZDNet, besloot dit idee uit te proberen en ontdekte dat dit inderdaad werkt. Inmiddels heeft Microsoft de potentiële veiligheidsfout in Vista erkend, en zou het bedrijf aan maatregelen werken. De Vista spraakherkenning maakt het mogelijk om door middel van gesproken commando's taken uit te voeren, waaronder het verwijderen van bestanden. Wanneer geluidsbestanden met gesproken opdrachten worden afgespeeld via de luidsprekers die zijn aangesloten op een computer, blijkt Vista dit ook te verwerken als gesproken commando's. Uit de test van Ou bleek het mogelijk te zijn om op deze manier hele directories te verwijderen en de prullenbak te legen. Hierdoor is het dus mogelijk om bijvoorbeeld via een website die automatisch geluidsbestanden afspeelt, gegevens te verwijderen op een Vista-pc.

In een eerste reactie op de verhalen heeft Microsoft erkend dat er een mogelijk probleem is en adviseert mensen om de luidsprekers uit te zetten en, wanneer er een geluidsbestand wordt afgespeeld dat de spraakherkenning activeert, Windows Media Player uit te schakelen en de computer opnieuw op te starten. Andere systemen die een dergelijk spraakbesturingssysteem gebruiken, maken volgens Ou gebruik van sleutelwoorden of pincodes die moeten worden uitgesproken wanneer 'gevaarlijke' opdrachten worden gegeven, waardoor dit veiligheidsprobleem grotendeels voorkomen wordt. Ook zou een oplossing kunnen bestaan uit het negeren van commando's die uit de luidsprekers van de computer komen. De beperking van de standaard rechten van de gebruiker in Vista voorkomt het overigens dat cruciale systeembestanden kunnen worden verwijderd.

Door Martin Sturm

Nieuwsposter

Feedback • 02-02-2007 00:15 125

02-02-2007 • 00:15

125

Bron: ZDNet

Lees meer

Nuance ontfermt zich over Philips Speech Recognition Systems
Nuance ontfermt zich over Philips Speech Recognition Systems Nieuws van 2 oktober 2008
'Windows 7 is zonder muis en toetsenbord te besturen'
'Windows 7 is zonder muis en toetsenbord te besturen' Nieuws van 20 februari 2008
Google illustreert opmars voice recognition
Google illustreert opmars voice recognition Nieuws van 7 april 2007
's Werelds oudste blogger is 107
's Werelds oudste blogger is 107 Nieuws van 26 februari 2007
Microsoft brengt toolkit uit om Vista-migratie te bespoedigen
Microsoft brengt toolkit uit om Vista-migratie te bespoedigen Nieuws van 21 februari 2007
Computerfabrikanten langzaam met uitleveren Vista Express
Computerfabrikanten langzaam met uitleveren Vista Express Nieuws van 17 februari 2007
Microsoft plant securitycentra in Europa en Azië
Microsoft plant securitycentra in Europa en Azië Nieuws van 11 februari 2007
Dinsdag kritieke patch voor Live OneCare
Dinsdag kritieke patch voor Live OneCare Nieuws van 10 februari 2007
'Helft Vista-cracks bevat malware'
'Helft Vista-cracks bevat malware' Nieuws van 26 januari 2007
Microsoft: Vista moet gebruikers tegen zichzelf beschermen
Microsoft: Vista moet gebruikers tegen zichzelf beschermen Nieuws van 17 januari 2007
Opschudding over veiligheidslek in Windows Vista
Opschudding over veiligheidslek in Windows Vista Nieuws van 28 december 2006
Eerste Vista-exploit opgedoken
Eerste Vista-exploit opgedoken Nieuws van 24 december 2006
Free Software Foundation start 'Vista is slecht'-campagne
Free Software Foundation start 'Vista is slecht'-campagne Nieuws van 18 december 2006
Meer producten en artikelen
Software

Reacties (125)

-Moderatie-faq
125
124
62
23
3
31
Wijzig sortering
Shinji 2 februari 2007 00:35
Begrijp ik goed dat je zonder dat het spraakherkenningsprogramma aan staat, die dit wel aan kan zetten door middel van spraakherkenning (oftewel, het draait soort van al)
-> "door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken"

//edit
Dubbele ontkenning verwijderd :)
Rataplan @Shinji2 februari 2007 01:02
Nope. Spraakherkenning moet wel draaien, maar het vereist een trefwoord om actief te worden ('wake'). Dat laatste wordt hier bedoeld.
Cameleon73 @Rataplan2 februari 2007 11:50
"Wake" als activeringswoord? Hmmm... dan moet ik maar geen Wham draaien als ik in Word bezig ben ... wordt telkens "me up before you go go" ingevoegd :)
geenstijl @Shinji2 februari 2007 00:49
Precies, interessant punt.
Ben benieuwd of iemand hier uitsluitsel over kan geven.
Zou wel erg vreemd zijn als dit inderdaad zo werkt, dat het dus al gewoon draait.
Dutch_Razor @Shinji2 februari 2007 14:14
Je moet eerst voice recognistion configureren, en dan nog moet je het programma eerst op starten (of laten opstarten met windows), waarna je "start listening" moet zeggen.
D-Three 2 februari 2007 00:24
Er moet wel opgemerkt worden dat de spraakherkenning getraind wordt om de stem van de gebruiker beter te herkennen. Commando's ingesproken door iemand anders zullen dus minder goed werken.
Gomez12 @D-Three2 februari 2007 00:32
Als het een willekeurig persoon zou zijn dan gaat het minder goed werken...

Maar ik denk dat er binnenkort toch wel een paar wav-files vrijkomen (tegen betaling) van mensen waarbij de voicerecognition perfect werkt...

En dan mag jij raden of men willekeurige mensen gebruikt of de betaalde wavjes.

Alhoewel ik de oplossing van MS wel prachtig vind, speakers uitzetten. Daar gaat mijn achtergrond muziek dan :)
D-Three @Gomez122 februari 2007 11:17
Ah. Het zal wel zo'n vaart niet lopen. Voor zover ik weet, staat de spraakherkenning standaard uitgeschakeld. Niet iedereen zal de spraakherkenning gebruiken dus zal die bij velen uitgeschakeld blijven. Ook niet iedereen heeft een microfoon of die staat ook uitgeschakeld. En de opstelling van de luidsprekers en de microfoon zal ook wel een kleine rol spelen. Allemaal factoren waardoor het net niet zou kunnen werken. Vandaar dat het een potentieel veiligheidsgat is. :)
Maar het is wel grappig en goed gevonden. :P En natuurlijk moet er oplossing komen.
Anoniem: 143668 2 februari 2007 01:06
Ik zie eigenlijk een nog groter veiligheidsprobleem dan het afspelen van de gevaarlijke commando's via de luidsprekers:
Als je de intercom van een bedrijf kan gebruiken kan je ineens alle bedrijfscomputers met spraakherkenning aangeschakeld lamleggen!
Of om het nog grootster te bekijken: als je de kans krijgt om je commando via de radio te verzenden, krijgen opeens overal ter wereld mensen die naar dat station luisteren computerproblemen...

Op die manier zul je over een aantal jaren zelfs een firewall op je muziekinstallatie moeten installeren :Y)

kort samengevat: spraakherkenning voor systeemcommando's is zeker een groot veiligheidsrisico.
conradm @Anoniem: 1436682 februari 2007 09:19
nog extremer....maar zeker niet onmogelijk; koop een paar sec reclamezendtijd en voila....

nog extremer, maak muziek met....en scoor een hit (kan iedere idioot tegenwoordig)
TheCapK @conradm2 februari 2007 13:42
En je kan erop rekenen dat juist terroristen/afpersers e.d. dit soort acties zeker zullen proberen toe te passen!
Geen grotere impact dan de halve economie lamleggen!
Daar kan geen WTC tegenop!
Dlocks @conradm2 februari 2007 15:10
koop een paar sec reclamezendtijd
Zou Apple moeten doen. En dan eindigen met "Ook toe aan een Mac?" o.i.d. :P
Dutch_Razor @Anoniem: 1436682 februari 2007 14:17
Ik zie mensen op t werk nog niet met spraakherkenning aan zitten, tenminste mensen die niet een eigen kantoor hebben, anders hoor je toch alle andere mensen en raakt je pc compleet door de war?

Bovendien staat het niet standaard aan.

Maar zou wel een goeie grap zijn,
kimborntobewild @Anoniem: 1436683 februari 2007 12:13
Veilig spraakherkenning gebruiken is er gewoon niet bij als je tegelijkertijd mp3'tjes of radio beluisterd of video met geluid afspeelt.
Simple as that.
En ook met tegelijkertijd internetten kan je natuurlijk grote problemen krijgen, tenzij je al 't geluid volledig uitzet.

'T volgende probleem met de spraakherkenning is al bekend: i.p.v. input via de microfoon, zal een stukje malware de input intern (direct vanuit 't afspelen van flash audio, bijvoorbeeld) omleiden naar de spraakherkenningssoftware. Dus zonder dat er daadwerkelijk geluid wordt geproduceerd.
Anoniem: 95032 2 februari 2007 00:19
Wow :+
Mentalist @Anoniem: 950322 februari 2007 00:38
U zei "wow".
Weet u zeker dat u Windows On Windows wilt activeren?
Antwoord in de microfoon met "Ja" of "Nee".
Greyh0und @Mentalist2 februari 2007 08:29
http://youtube.com/watch?v=2Y_Jp6PxsSQ

:P

of beter:

http://youtube.com/watch?v=kX8oYoYy2Gc
Anoniem: 156329 @Greyh0und2 februari 2007 13:10
lol, zeg je "dear mom" denk vista dat je "delete all" zegt, je zal maar net door je mijn documenten heen aan het bladeren zijn :P
un1ty @Mentalist2 februari 2007 07:19
"Mjoah, mag ik er nog even overna denken?"
-"Windows word gedeïnstalleerd"
bbr @Mentalist2 februari 2007 08:59
world of warcraft ;P
Anoniem: 80466 @Anoniem: 950322 februari 2007 20:34
Vooral Wow over het niveau dat de spraakherkenning van Vista heeft.
Dat is echt supergoede reclame !!
Lennart_1337 2 februari 2007 00:29
Zit je met iemand te skypen en ben je boos op de andere persoon, gewoon even format c:/q roepen en je ben er zo vanaf :+
.Johnny @Lennart_13372 februari 2007 10:05
Jongens, niet meteen in paniek raken; als je User Account Control aan hebt staan kun je in elk geval dat soort commando's niet met voice uitvoeren. JE weet wel, die zogenaamde "irritante" bevestigingsvragen van Vista, die nu toch niet zo heel erg dom blijken... die kun je dus ook expres niet met voice bedienen.

format c: kun je dus wel vergeten.

De echte oplossing lijkt me ook niet zo'n pin of gesproken password, maar eerder het filteren van input door met de huidige output van de pc te vergelijken. Echo cancelation werkt ook zo, dus dat moet niet heel moeilijk te implementeren zijn.

@dutch_razor; ik loop hier natuurlijk niet uit mn duim te zuigen. Ik ben al een paar dagen aan het testen met speech recognition. UAC kun je niet bedienen met Speech.

@munters; daar heb je dus UAC als beveiliging tussen zitten. Een keylogger krijg je niet zomaar geinstalleerd.
ATS @.Johnny2 februari 2007 10:09
Ach, het deleten van de inhoud van je My Documents (of hoe dat tegenwoordig ook heten mag) is vervelend genoeg hoor! Ik snap niet dat mensen zich zo druk maken over het wissen van systeembestanden. Alsof dat je écht belangrijke bestanden zijn. Je systeem opnieuw installeren kost een paar uur, hoeveel uur werk zit er in je eigen bestanden?
Munters @ATS2 februari 2007 10:54
Daar heb je helemaal gelijk in.
Maar het meeste gevaar tegenwoordig is niet meer het vernagelen van je systeem, maar het achterhalen van geheime informatie voor geldelijk gewin.

En je hoeft ook helemaal geen ingewikkelde text commando's te geven, dat kan gewoon in een (ingewikkeld) script op een vage webpagina. Hoef je daar via text recognition alleen maar heen te surfen.

"start internet explorer .... ga www . keylogger . ru "
(voorbeeldje hoor, misschien is dit wel een hele normale website).

edit: wat spaties toegevoegd, het werd steeds een echte link
Dutch_Razor @.Johnny2 februari 2007 10:54
Werkt UAC niet ook via voice control? Ik zou het moeten testen, aangezien ik het uit heb staan maar volgens mij wel want ze zeggen dat je alles kan doen wat je muis en tobo ook kan.
90710 @.Johnny2 februari 2007 12:37
Dan roepen we hard: "Shutdown".
Anoniem: 207230 2 februari 2007 01:52
1. Dit werkt met alle vormen van spraakherkennings technologie. Dat verhaal over "pincodes" heb ik nog nooit ergens gezien. Ojee m'n Ericsson telefoon is ook "lek", m'n Imac is ook "lek".

2. Iedereen die ook maar 2 minuten heeft gepield met spraakherkenning weet dat je "push to talk" gebruikt... als je dat niet gebruikt gaat dat ding voor in Word lopen tiepen elke keer als jij aan je neus krabbeld.

3. Ofwel Microsoft heeft baanbrekende nieuwe spraaktechnologie, of om dit te laten werken moet je de mike zowat in de speaker zetten.
thisbeingme @Anoniem: 2072302 februari 2007 11:05
1) Op de mac is het wel degelijk mogelijk om een soort van "startwoord" in te stellen. Als dat woord niet wordt uitgesproken ( De hack kan immers niet raden welk woord dat is ) zal de stemherkenning niet geactiveerd worden :)
Anoniem: 44917 @thisbeingme2 februari 2007 11:45
yep, steeds "computer" er voor zeggen. zo doen ze het in startrek toch ook ;) "computer, delete files"
Anoniem: 170345 @Anoniem: 2072302 februari 2007 02:01
2. Dan heb je een erg goedkope microfoon en een slecht spraakherkenningsprogramma.
Anoniem: 207230 @Anoniem: 1703452 februari 2007 02:45
Nee, ik heb een prima headset thanks. Ok ik overdreef met dat aan je neus krabbelen maar als ik aan het werk ben is het net als een echt kantoor weet je. Mensen die dingen komen vragen, de telefoon die gaat etc.

Dus i praat meer dan ik wil dat de voice recognition opvangt... dus push to talk. En dat is een real world scenario dat voor zo ongeveer iedereen opgaat.
n4m3l355 @Anoniem: 2072302 februari 2007 08:46
Het probleem met spraakherkenning is dat het vaak slecht functioneerd. Tenzij je dus commando's uitermate goed uitspreekt. Nu kun je deze dus opnemen en vervolgens afspelen.
Het verschil in functionaliteit zorgt er dan ook voor dat dit niet van toepassing is bij jou opties 1 t/m 3
Anoniem: 188821 2 februari 2007 00:41
Bizar. De makkelijkste oplossing is het geluid van je speakers te analyseren terwijl je commando's ingeeft. Als blijkt dat je speakers de commando's produceren, worden deze genegeerd, tenzij de gebruiker dit niet zo wil. Zo zou het kunnen werken.
WyriHaximus @Anoniem: 1888212 februari 2007 01:01
Eingelijk zou je alles wat door de speakers naar buiten gaat gewoon er uit filteren als het vrijwel direct weer binnenkomt. En niet eerst kijken of het commando's zijn of niet.
cc bcc @WyriHaximus2 februari 2007 02:04
En als het uit iemand anders zijn computer komt? Een colega bijvoorbeeld die toevallig vlakbij zit met zn laptop.
Hendal. @cc bcc2 februari 2007 08:48
Je filtert hetgeen wat direct weer terug komt dus als je pc speaker iets speelt en je pc mic vangt dat weer op dan wordt dat gefilterd en valt die actie dus weg.
friend @cc bcc2 februari 2007 11:35
Misschien een stereo-microfoon gebruiken, dan kan je een beetje een richting bepalen waar de stem vandaan komt en kunnen geluiden van een andere richting dan de gebruiker genegeerd worden. 3 microfoons geeft dan nog een betere positionering (is wel een handig kastje voor te ontwikkelen, zodat ie gelijk een coordinaat via USB doorgeeft, ook leuk voor een nieuwe Wii interface).
friend @WyriHaximus2 februari 2007 11:31
Lijkt me zowiezo beter, dan kan de achtergrondmuziek/-geluiden van de PC zelf niet je spraakcommando's overstemmen en verstoren.
Anoniem: 93798 2 februari 2007 00:38
Damn ... dit mag men vriendin zeker niet te weten komen! Als ik dan nog eens achter de PC blijf hangen kan ze roepen" shutdown computer" :+ of "delete porn" :9

Nee serieus ... dit is toch te dom voor woorden ... raar dat men dit niet eerder had ontdekt :)
weeraanmelden @Anoniem: 937982 februari 2007 17:28
Dom dom...
Keerzijde van , en ik neem aan dat deze tester de Pc zo ingesteld heeft, dat hij alle maar dan ook alle rechten heeft / zo aangepast dat Vista niets meer vraagt.

Beetje flauw om dit een bug, foutje te noemen of " DzEeS.. Dat M$ D1t Ni3T 3eRd3R g3Z13n H33Ft!?!"
Dit is namelijk gewoon de keerzijde van de medialle.
Remz-Jay 2 februari 2007 00:47
In een eerste reactie op de verhalen heeft Microsoft erkend dat er een mogelijk probleem is en adviseert mensen om de luidsprekers uit te zetten
De oplossing van de eeuw ja, gewoon geen geluid meer uit je pc.. scheelt ze ook weer een softwarematige oplossing verzinnen enzo! O+
Anoniem: 189898 @Remz-Jay2 februari 2007 09:54
Tuurlijk, jij denkt dat er binnen een uurtje even een oplossing geschreven wordt? Doe niet zo onnozel, je ziet zelf ook dat het om een 'eerste reactie' gaat.
TheCapK @Anoniem: 1898982 februari 2007 13:39
De oplossing hiervoor bestaat al jaren hard en softwarematig!
Als je even de moeite neemt om de diverse reacties hierboven door te lezen dan zie je daar al een aantal mensen schrijven dat de mogelijkheid er is en uit mijn werk in het verleden met geluidsversterking/opname weet ik dat er genoeg apparatuur n software is die dit soort dingen aan kunnen.
Zou anders lachen worden als je met bv Cubase bezig bent wat fixes te doen in je opnames en je voegt meteen ook de echo toe van de opnames die je aan het fixen bent. Dan kan je bezig blijven!
skralan 2 februari 2007 00:35
Microsoft kennende komen ze met volgende oplossing: Weet u zeker dat u de ingesproken commando's wil uitvoeren? [ja] [neen]

Zodat de handigheid van spreken weer wordt weggenomen en interactie via toetsenbord of muis vereist wordt :+ .
Muscrerior @skralan2 februari 2007 07:34
laat maar...ik moet beter lezen |:(
SPee @skralan2 februari 2007 17:22
Je mag het ook via spraak bevestigen :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq