Connect with us

technokrata

Szezám, tárulj! – beszéddel “törhető” a Windows Vista

Dotkom

Szezám, tárulj! – beszéddel “törhető” a Windows Vista

Akár adatvesztéshez is vezető kockázatot jelent a hangfelismerő funkció sebezhetősége.

Elismerte a Microsoft, hogy a Windows Vistába épített hangfelismerő funkció sebezhető pontot jelent az operációs rendszerben. A héten bukkant fel néhány online, IT-biztonsággal foglalkozó fórumban a lehetőség kihasználásának módja. A DailyDave hírcsoportban például az egyik hozzászóló beszámolója szerint sikeres tesztet végzett: pusztán hangvezérléssel le tudta törölni a My Documents könyvtár teljes tartalmát. Ezt a hangutasítást rögzítve és egy ártalmas szándékkal megalkotott weboldalra feltöltve a gyanútlan internetező hasonló mappáját szintén üresre lehet gyalulni.

Szerencsére alapértelmezettként a hangfelismerő funkció nincsen bekapcsolva a Vistában, így attól nem kell tartani, hogy rohamosan elterjednek a hangalapú támadások. A Microsoft szerint még bekapcsolt állapotban sem könnyű végrehajtani a fentieket, mivel nemcsak hogy be kell konfigurálni a szolgáltatást, de a célba vett rendszernek mikrofonnal és hangszórókkal is rendelkeznie kell; ráadásul mindkét eszköznek bekapcsolt állapotban kell lennie. A felhasználó emellett bármikor beavatkozhat, ha a hangszórójából olyan parancsszavakat (copy, delete, shutdown stb.) vél hallani, melyek kárt okozhatnak állományaiban.

Ha mindezek a körülmények adottak, és az internetező nem figyel, akkor is van még egy utolsó gát, amit le kell győznie a „hangtámadónak”: ez a user account control (UAC). A funkció pont az ilyen támadásokat hivatott megállítani: a rendszert érintő komoly változtatásokat (rendszerfile-ok törlése, szoftverek telepítése, új felhasználói accountok létrehozása stb.) nem engedi automatikusan végrehajtani – előtte a felhasználónak be kell ütnie (adminisztrátori) jelszavát. Persze ha valaki kikapcsolta az UAC szolgáltatást (amit a Microsoft nem javasol), akkor már gondban lehet.

Annak bizonyítására, hogy a fenti veszély mennyire kevés kockázatot jelent, Dan Geer biztonsági guru a DailyDave-en 500 dollárt ajánlott fel az első dokumentált esetért, amikor valaki áldozatul esik egy ilyen támadásnak.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek