国外网站的一篇博客称,经过博主亲自测试发现,Vista SP1的语音识别组件仍存在安全漏洞。
据国外媒体报道,著名安全博客、ZDNet网站的技术主管George Ou就Vista SP1语音识别的安全性撰文,以下是他的博客原文:
一年前安全专业人员Sebastian Krahmer在Dailydave安全邮件列表中发出一个提问,即微软最新操作系统Vista的语音识别部件能否被恶意声音文件所利用,这种恶意文件可以被嵌入网站内容之中。我最先回应了他的提问,当时只是有一点点怀疑,然而后来经过测试得出的结果让我很吃惊,漏洞的的确确存在。几个月前,在Vista SP1尚未最终完成之前围绕上述安全问题有许多相关说法,有的称SP1版本中将关闭语音识别部件中的漏洞,但虽经我多次追问,微软一直没有肯定或否定的答复。最后我决定亲自测试,安装上Vista SP1 RTM之后经过测试发现这一漏洞仍然存在。
我创建的一个声音文件会自动设法唤醒Vista语音识别功能,通过Windows Explorer勾选桌面上的所有文件和图片,然后自动启用shift-delete键,该组合键可永久删除文件,无法从回收站中恢复。我打开IE浏览器之后,系统会自动键入TinyURL地址,随后跳转到其它包含恶意代码的网站。由于Vista的语音识别功能尚无法改变用户帐户控制(UAC)设置,因此该漏洞的危害只限于用户空间,不过在用户空间中运行恶意代码也会导致非常严重的后果。
这一安全漏洞去年最初被发现时,围绕它的严重性在网上进行了激烈的争论。有人公开或私个批评我,说这一安全问题根本不存在,但Scott M. Fulton等人也认识到了问题的严重性,他将该漏洞称之为“低技术(low-tech)”的Vista漏洞。我想对于那些应用语音识别功能较多的肢体残疾人士来说,尤其要提防上述安全漏洞。如果不开启语音识别功能,那么该漏洞的影响显然为零,但如果打开语音识别功能,那么危害就是100。尽管这部件特殊人群的数量不非常小,然而微软如果想让语音识别成为主流技术,那么它必须解决这一问题,要不为什么比尔·盖茨去年在一次主题演讲中称语音识别技术是Windows Vista的一项核心功能。
去年我曾提出了减小漏洞影响的两个建议:
不要允许普遍使用的“开始听”命令唤醒语音识别功能,不要让电脑自动播放的声音文件由语音识别引擎来完成。
我想大多数安全专家会赞同我的建议,微软本来有足足一年的时间来解决这一问题,他它没有去做,我认为这是微软在安全方面的一个很大的失误。
|