Menü

Sprechende Sicherheitslücke in Vista

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 259 Beiträge
Von

Das Spracherkennungssystem von Windows Vista lässt sich missbrauchen, um einem Rechner unautorisierte Befehle übers Netz zu schicken. Wie Microsoft inzwischen bestätigte, könnte beispielsweise eine Webseite eine Audiodatei über die Systemlautsprecher abspielen, die eine aktivierte Spracherkennung als Befehle des Anwenders interpretiert. George Ou, der die von Sebastian Krahmer entdeckte Schwachstelle zu einem Demo-Exploit ausarbeitete, war es auf diese Weise offenbar möglich, einem Vista-System auch schon bei mittlerer Laustärke einfache Sprachbefehle zu erteilen.

Die Praxistauglichkeit dieser Exploit-Methode ist derzeit allerdings noch nicht erwiesen. Wenn der Computer etwa beim Besuch einer Webseite plötzlich beginnt, laute Sprachkommandos abzusondern, dürften die meisten Anwender nach kurzem Staunen entsprechende Gegenmaßnahmen ergreifen. Darüber hinaus sind beispielsweise zum Herunterladen und Starten einer Datei aus dem Internet zumindest für eine Sprachsteuerung lange und komplexe Befehlsketten nötig, die eine auf die fremde Stimme untrainierte Sprachsteuerung nicht unbedingt korrekt umsetzt. Außerdem ist es mit der Sprachsteuerung laut Microsoft nicht möglich, die User Account Control (UAC) zu umgehen, die vor dem unbemerkten Ausführen von administrativen Befehlen schützen soll.

George Ou schlägt dem Hersteller zur Behebung der Schwachstelle vor, bei der Spracherkennung diejenigen Signalanteile vollständig auszufiltern, die über die Systemlautsprecher ausgegeben werden. Zwar verfügt die Spracherkennung bereits über eine derartige Funktion, um Rückkopplungen zu vermeiden, doch die erreichte Abschwächung des aufgenommenen Lautsprechersignals ist offenbar nicht ausreichend, um eine Befehlsausführung zu verhindern. Microsoft empfiehlt Nutzern der Sprachsteuerung, die Lautsprecher oder das Mikrofon auszustellen, wenn sie den Rechner unbeaufsichtigt lassen.

Siehe dazu auch:

(cr)