Ancora Vista, non ci posso credere…

Zarrelli il venerdì, 2 Febbraio, 2007

Da Engadget:

Run for the hills, everybody, Windows Vista has been proven vulnerable to the hax0rs mere days after its release — Steve Ballmer should clearly just give up now and resign while he still has a bit of dignity left. Or not. The vulnerability in question is hardly a hack at all, at least of the traditional variety, instead this one relies on you turning up your speakers and leaving your microphone on. See, the new Windows Speech Recognition in Windows Vista has all sorts of new abilities, but unlike Mac OS speech recognition of yore, no keyword is required to make your computer start listening to what you have to say, meaning any stray word could be interpreted as a command by Windows if it has the right tone and is within Vista’s repertoire. Microsoft also hasn’t done anything to ensure speech recognition doesn’t listen to the sounds coming out of your computer via the speakers, all of which means that if you visit a malicious website with the speakers turned up and the mic turned on (and Speech Recognition loaded, of course) an audio file could wake SR, open Windows Explorer, delete the documents folder and then empty the recycle bin. Not exactly the most likely of occurrences, but certain security types are already up in arms, and Microsoft has confirmed the potential problem, but merely recommends users turn of their speakers and/or microphone, along with killing any apps trying to attack them with such verbage. Not the greatest vote of confidence, so perhaps we’ll be seeing a fix for this from Microsoft before too long.

Insomma, per intenderci, basta che uno lasci casse e microfono aperti e che vada su un sito che riproduca un file audio contenente una serie di istruzioni. A questo punto, l’audio uscito dalle casse rientra dal microfono, viene processato come una serie di comandi ed eseguito.

E Microsoft conferma.

Ridicolo.

8 Risposte a “Ancora Vista, non ci posso credere…”

  2. artgatt venerdì, 2 Febbraio, 2007 alle 12:15 pm

    Prima di dire certe cagate informati…. oppure di le cose come realmente stanno, e non esibirti in sterili riassuntini da due righe che non rappresentano la verità

  4. Giorgio Zarrelli venerdì, 2 Febbraio, 2007 alle 12:46 pm

    @agartt. Su questo blog sei a casa mia, quindi evita certi termini poco gradevoli.

    In secondo luogo, ti invito a rileggere il post che ho citato:

    Not exactly the most likely of occurrences, but certain security types are already up in arms, and Microsoft has confirmed the potential problem, but merely recommends users turn of their speakers and/or microphone, along with killing any apps trying to attack them with such verbage.

    Poi, leggi il post che ho linkato, in cui vengono esposte le reazioni di Microsoft:

    Microsoft’s initial investigation reveals that this vulnerability could allow an attacker to use the speech recognition feature in Windows Vista to verbally execute commands on a user’s computer. The attackers’ commands are limited to the rights of the logged on user. User Account Control prohibits the attacker from executing any administrative level commands.

    Quindi, diventa superfluo leggere l’articolo di Tom’s Hardware, che si limita a tradurre la notizia originale che ho linkato.

    Infine, prima di lanciare flame, rifletti su quanto ho scritto e valuta se ho fornito informazioni difformi da quanto riportato da Microsoft stessa.

  5. artgatt venerdì, 2 Febbraio, 2007 alle 4:25 pm

    Generalmente non è questo il mio “stile” e me ne scuso profondamente, ma in sostanza il mio punto di vista non cambia.

    Microsoft ha elencato una serie di “contro” (i pro li stanno elencando un po tutti..) che, se analizzati con occhio obiettivo, fanno giungere alla mia medesima conclusione. Sfruttare questa “falla”, chiamiamola cosi, è quasi impossibile perchè i fattori necessari alla riuscita di un attacco simile sono troppi e troppo precari.

  6. Giorgio venerdì, 2 Febbraio, 2007 alle 5:06 pm

    Infatti, non si dice che da oggi in poi tutti prenderanno il controllo di un Vista lasciato incustodito. Non è questo il discorso portato avanti dal post.

    L’appunto è un altro: quella che a prima vista appare una piccola falla, poteva essere evitata con una semplice analisi preventiva delle funzionalità introdotte. E’ la classica buccia che fà scivolare e dà una impressione un po’ infastidita.

    Poi, io sono dell’opinione che ognuno deve trovare il proprio OS, quello in cui si trova a suo agio, che sia Windows, Linux o Mac.

    Non nascondo le mie preferenze, lascio a chiunque la libertà di scegliere ciò che pensa sia meglio per lui, anche nel caso io non condivida queste opinioni.

  7. claudio martedì, 6 Febbraio, 2007 alle 5:49 pm

    ragazzi questa non è una falla di cui si doveva fare un’analisi perché questo fare qui che vediamo
    http://www.computermuseum.li/Testpage/Apricot-Portable-PC-1984.htm
    un portatile del 1984 dotato di quella che oggi si chiamerebbe dual head tastiera e trackball senza fili veniva pubblicizzato non solo per il suo riconoscimento vocale ma per il fatto che si potevano automatizzare delle operazioni con un semplice nastro.
    Dopotutto gli MP3 o comunque la possibilità di registrare sulla tedesca erano una caratteristica di là da venire.

  8. Giorgio mercoledì, 7 Febbraio, 2007 alle 6:58 am

    Il fatto è che ai tempi non lo si poteva lasciare incustodito ad ascoltare in rete.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.