Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 125 reacties
Bron: ZDNet, submitter: Raine

Hoewel er tot nu toe nog geen serieuze veiligheidsgaten zijn ontdekt in Windows Vista, duiken nu de eerste berichten op over een mogelijk veiligheidsprobleem in het besturingssysteem. De spraakherkenningsfunctie zou het mogelijk maken om op afstand ongemerkt bestanden te wissen.

Vista speech recognitionSebastian Krahmer bedacht dat het theoretisch mogelijk zou zijn om door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken. George Ou, blogger op ZDNet, besloot dit idee uit te proberen en ontdekte dat dit inderdaad werkt. Inmiddels heeft Microsoft de potentiŽle veiligheidsfout in Vista erkend, en zou het bedrijf aan maatregelen werken. De Vista spraakherkenning maakt het mogelijk om door middel van gesproken commando's taken uit te voeren, waaronder het verwijderen van bestanden. Wanneer geluidsbestanden met gesproken opdrachten worden afgespeeld via de luidsprekers die zijn aangesloten op een computer, blijkt Vista dit ook te verwerken als gesproken commando's. Uit de test van Ou bleek het mogelijk te zijn om op deze manier hele directories te verwijderen en de prullenbak te legen. Hierdoor is het dus mogelijk om bijvoorbeeld via een website die automatisch geluidsbestanden afspeelt, gegevens te verwijderen op een Vista-pc.

In een eerste reactie op de verhalen heeft Microsoft erkend dat er een mogelijk probleem is en adviseert mensen om de luidsprekers uit te zetten en, wanneer er een geluidsbestand wordt afgespeeld dat de spraakherkenning activeert, Windows Media Player uit te schakelen en de computer opnieuw op te starten. Andere systemen die een dergelijk spraakbesturingssysteem gebruiken, maken volgens Ou gebruik van sleutelwoorden of pincodes die moeten worden uitgesproken wanneer 'gevaarlijke' opdrachten worden gegeven, waardoor dit veiligheidsprobleem grotendeels voorkomen wordt. Ook zou een oplossing kunnen bestaan uit het negeren van commando's die uit de luidsprekers van de computer komen. De beperking van de standaard rechten van de gebruiker in Vista voorkomt het overigens dat cruciale systeembestanden kunnen worden verwijderd.

Moderatie-faq Wijzig weergave

Reacties (125)

1 2 3 ... 7
Ik zie eigenlijk een nog groter veiligheidsprobleem dan het afspelen van de gevaarlijke commando's via de luidsprekers:
Als je de intercom van een bedrijf kan gebruiken kan je ineens alle bedrijfscomputers met spraakherkenning aangeschakeld lamleggen!
Of om het nog grootster te bekijken: als je de kans krijgt om je commando via de radio te verzenden, krijgen opeens overal ter wereld mensen die naar dat station luisteren computerproblemen...

Op die manier zul je over een aantal jaren zelfs een firewall op je muziekinstallatie moeten installeren :Y)

kort samengevat: spraakherkenning voor systeemcommando's is zeker een groot veiligheidsrisico.
nog extremer....maar zeker niet onmogelijk; koop een paar sec reclamezendtijd en voila....

nog extremer, maak muziek met....en scoor een hit (kan iedere idioot tegenwoordig)
En je kan erop rekenen dat juist terroristen/afpersers e.d. dit soort acties zeker zullen proberen toe te passen!
Geen grotere impact dan de halve economie lamleggen!
Daar kan geen WTC tegenop!
koop een paar sec reclamezendtijd
Zou Apple moeten doen. En dan eindigen met "Ook toe aan een Mac?" o.i.d. :P
Ik zie mensen op t werk nog niet met spraakherkenning aan zitten, tenminste mensen die niet een eigen kantoor hebben, anders hoor je toch alle andere mensen en raakt je pc compleet door de war?

Bovendien staat het niet standaard aan.

Maar zou wel een goeie grap zijn,
Veilig spraakherkenning gebruiken is er gewoon niet bij als je tegelijkertijd mp3'tjes of radio beluisterd of video met geluid afspeelt.
Simple as that.
En ook met tegelijkertijd internetten kan je natuurlijk grote problemen krijgen, tenzij je al 't geluid volledig uitzet.

'T volgende probleem met de spraakherkenning is al bekend: i.p.v. input via de microfoon, zal een stukje malware de input intern (direct vanuit 't afspelen van flash audio, bijvoorbeeld) omleiden naar de spraakherkenningssoftware. Dus zonder dat er daadwerkelijk geluid wordt geproduceerd.
Begrijp ik goed dat je zonder dat het spraakherkenningsprogramma aan staat, die dit wel aan kan zetten door middel van spraakherkenning (oftewel, het draait soort van al)
-> "door middel van het afspelen van geluidsbestanden met gesproken tekst de Windows Vista spraakinterface te activeren en deze te misbruiken"

//edit
Dubbele ontkenning verwijderd :)
Nope. Spraakherkenning moet wel draaien, maar het vereist een trefwoord om actief te worden ('wake'). Dat laatste wordt hier bedoeld.
"Wake" als activeringswoord? Hmmm... dan moet ik maar geen Wham draaien als ik in Word bezig ben ... wordt telkens "me up before you go go" ingevoegd :)
Precies, interessant punt.
Ben benieuwd of iemand hier uitsluitsel over kan geven.
Zou wel erg vreemd zijn als dit inderdaad zo werkt, dat het dus al gewoon draait.
Je moet eerst voice recognistion configureren, en dan nog moet je het programma eerst op starten (of laten opstarten met windows), waarna je "start listening" moet zeggen.
Er moet wel opgemerkt worden dat de spraakherkenning getraind wordt om de stem van de gebruiker beter te herkennen. Commando's ingesproken door iemand anders zullen dus minder goed werken.
Als het een willekeurig persoon zou zijn dan gaat het minder goed werken...

Maar ik denk dat er binnenkort toch wel een paar wav-files vrijkomen (tegen betaling) van mensen waarbij de voicerecognition perfect werkt...

En dan mag jij raden of men willekeurige mensen gebruikt of de betaalde wavjes.

Alhoewel ik de oplossing van MS wel prachtig vind, speakers uitzetten. Daar gaat mijn achtergrond muziek dan :)
Ah. Het zal wel zo'n vaart niet lopen. Voor zover ik weet, staat de spraakherkenning standaard uitgeschakeld. Niet iedereen zal de spraakherkenning gebruiken dus zal die bij velen uitgeschakeld blijven. Ook niet iedereen heeft een microfoon of die staat ook uitgeschakeld. En de opstelling van de luidsprekers en de microfoon zal ook wel een kleine rol spelen. Allemaal factoren waardoor het net niet zou kunnen werken. Vandaar dat het een potentieel veiligheidsgat is. :)
Maar het is wel grappig en goed gevonden. :P En natuurlijk moet er oplossing komen.
U zei "wow".
Weet u zeker dat u Windows On Windows wilt activeren?
Antwoord in de microfoon met "Ja" of "Nee".
lol, zeg je "dear mom" denk vista dat je "delete all" zegt, je zal maar net door je mijn documenten heen aan het bladeren zijn :P
"Mjoah, mag ik er nog even overna denken?"
-"Windows word gedeÔnstalleerd"
world of warcraft ;P
Vooral Wow over het niveau dat de spraakherkenning van Vista heeft.
Dat is echt supergoede reclame !!
Zit je met iemand te skypen en ben je boos op de andere persoon, gewoon even format c:/q roepen en je ben er zo vanaf :+
Jongens, niet meteen in paniek raken; als je User Account Control aan hebt staan kun je in elk geval dat soort commando's niet met voice uitvoeren. JE weet wel, die zogenaamde "irritante" bevestigingsvragen van Vista, die nu toch niet zo heel erg dom blijken... die kun je dus ook expres niet met voice bedienen.

format c: kun je dus wel vergeten.

De echte oplossing lijkt me ook niet zo'n pin of gesproken password, maar eerder het filteren van input door met de huidige output van de pc te vergelijken. Echo cancelation werkt ook zo, dus dat moet niet heel moeilijk te implementeren zijn.

@dutch_razor; ik loop hier natuurlijk niet uit mn duim te zuigen. Ik ben al een paar dagen aan het testen met speech recognition. UAC kun je niet bedienen met Speech.

@munters; daar heb je dus UAC als beveiliging tussen zitten. Een keylogger krijg je niet zomaar geinstalleerd.
Ach, het deleten van de inhoud van je My Documents (of hoe dat tegenwoordig ook heten mag) is vervelend genoeg hoor! Ik snap niet dat mensen zich zo druk maken over het wissen van systeembestanden. Alsof dat je ťcht belangrijke bestanden zijn. Je systeem opnieuw installeren kost een paar uur, hoeveel uur werk zit er in je eigen bestanden?
Daar heb je helemaal gelijk in.
Maar het meeste gevaar tegenwoordig is niet meer het vernagelen van je systeem, maar het achterhalen van geheime informatie voor geldelijk gewin.

En je hoeft ook helemaal geen ingewikkelde text commando's te geven, dat kan gewoon in een (ingewikkeld) script op een vage webpagina. Hoef je daar via text recognition alleen maar heen te surfen.

"start internet explorer .... ga www . keylogger . ru "
(voorbeeldje hoor, misschien is dit wel een hele normale website).

edit: wat spaties toegevoegd, het werd steeds een echte link
Werkt UAC niet ook via voice control? Ik zou het moeten testen, aangezien ik het uit heb staan maar volgens mij wel want ze zeggen dat je alles kan doen wat je muis en tobo ook kan.
Dan roepen we hard: "Shutdown".
1. Dit werkt met alle vormen van spraakherkennings technologie. Dat verhaal over "pincodes" heb ik nog nooit ergens gezien. Ojee m'n Ericsson telefoon is ook "lek", m'n Imac is ook "lek".

2. Iedereen die ook maar 2 minuten heeft gepield met spraakherkenning weet dat je "push to talk" gebruikt... als je dat niet gebruikt gaat dat ding voor in Word lopen tiepen elke keer als jij aan je neus krabbeld.

3. Ofwel Microsoft heeft baanbrekende nieuwe spraaktechnologie, of om dit te laten werken moet je de mike zowat in de speaker zetten.
1) Op de mac is het wel degelijk mogelijk om een soort van "startwoord" in te stellen. Als dat woord niet wordt uitgesproken ( De hack kan immers niet raden welk woord dat is ) zal de stemherkenning niet geactiveerd worden :)
yep, steeds "computer" er voor zeggen. zo doen ze het in startrek toch ook ;) "computer, delete files"
2. Dan heb je een erg goedkope microfoon en een slecht spraakherkenningsprogramma.
Nee, ik heb een prima headset thanks. Ok ik overdreef met dat aan je neus krabbelen maar als ik aan het werk ben is het net als een echt kantoor weet je. Mensen die dingen komen vragen, de telefoon die gaat etc.

Dus i praat meer dan ik wil dat de voice recognition opvangt... dus push to talk. En dat is een real world scenario dat voor zo ongeveer iedereen opgaat.
Het probleem met spraakherkenning is dat het vaak slecht functioneerd. Tenzij je dus commando's uitermate goed uitspreekt. Nu kun je deze dus opnemen en vervolgens afspelen.
Het verschil in functionaliteit zorgt er dan ook voor dat dit niet van toepassing is bij jou opties 1 t/m 3
Bizar. De makkelijkste oplossing is het geluid van je speakers te analyseren terwijl je commando's ingeeft. Als blijkt dat je speakers de commando's produceren, worden deze genegeerd, tenzij de gebruiker dit niet zo wil. Zo zou het kunnen werken.
Eingelijk zou je alles wat door de speakers naar buiten gaat gewoon er uit filteren als het vrijwel direct weer binnenkomt. En niet eerst kijken of het commando's zijn of niet.
En als het uit iemand anders zijn computer komt? Een colega bijvoorbeeld die toevallig vlakbij zit met zn laptop.
Misschien een stereo-microfoon gebruiken, dan kan je een beetje een richting bepalen waar de stem vandaan komt en kunnen geluiden van een andere richting dan de gebruiker genegeerd worden. 3 microfoons geeft dan nog een betere positionering (is wel een handig kastje voor te ontwikkelen, zodat ie gelijk een coordinaat via USB doorgeeft, ook leuk voor een nieuwe Wii interface).
Je filtert hetgeen wat direct weer terug komt dus als je pc speaker iets speelt en je pc mic vangt dat weer op dan wordt dat gefilterd en valt die actie dus weg.
Lijkt me zowiezo beter, dan kan de achtergrondmuziek/-geluiden van de PC zelf niet je spraakcommando's overstemmen en verstoren.
In een eerste reactie op de verhalen heeft Microsoft erkend dat er een mogelijk probleem is en adviseert mensen om de luidsprekers uit te zetten
De oplossing van de eeuw ja, gewoon geen geluid meer uit je pc.. scheelt ze ook weer een softwarematige oplossing verzinnen enzo! O+
Tuurlijk, jij denkt dat er binnen een uurtje even een oplossing geschreven wordt? Doe niet zo onnozel, je ziet zelf ook dat het om een 'eerste reactie' gaat.
De oplossing hiervoor bestaat al jaren hard en softwarematig!
Als je even de moeite neemt om de diverse reacties hierboven door te lezen dan zie je daar al een aantal mensen schrijven dat de mogelijkheid er is en uit mijn werk in het verleden met geluidsversterking/opname weet ik dat er genoeg apparatuur n software is die dit soort dingen aan kunnen.
Zou anders lachen worden als je met bv Cubase bezig bent wat fixes te doen in je opnames en je voegt meteen ook de echo toe van de opnames die je aan het fixen bent. Dan kan je bezig blijven!
Microsoft kennende komen ze met volgende oplossing: Weet u zeker dat u de ingesproken commando's wil uitvoeren? [ja] [neen]

Zodat de handigheid van spreken weer wordt weggenomen en interactie via toetsenbord of muis vereist wordt :+ .
Je mag het ook via spraak bevestigen :+
laat maar...ik moet beter lezen |:(
Damn ... dit mag men vriendin zeker niet te weten komen! Als ik dan nog eens achter de PC blijf hangen kan ze roepen" shutdown computer" :+ of "delete porn" :9

Nee serieus ... dit is toch te dom voor woorden ... raar dat men dit niet eerder had ontdekt :)
Dom dom...
Keerzijde van , en ik neem aan dat deze tester de Pc zo ingesteld heeft, dat hij alle maar dan ook alle rechten heeft / zo aangepast dat Vista niets meer vraagt.

Beetje flauw om dit een bug, foutje te noemen of " DzEeS.. Dat M$ D1t Ni3T 3eRd3R g3Z13n H33Ft!?!"
Dit is namelijk gewoon de keerzijde van de medialle.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True