Windows Vista: Sicherheitsrisiko Spracherkennung?

Könnten Angreifer über eine Audio-Datei Vista dazu bringen, Befehle auszuführen? Immerhin steckt ja in Vista eine Spracherkennung. Diese Berichte kursieren derzeit im Internet. Das Microsoft Security Response Center hat dazu Stellung bezogen und Entwarnung gegeben.

Windows Vista verfügt neben einer integrierten Schrifterkennung auch über eine Spracherkennung, mit der Anwender nicht nur Texte diktieren können, sondern dem Rechner auch Sprachbefehle geben können. Im Internet kursieren Berichte, dass Angreifer die Spracherkennung von Windows Vista ausnutzen könnten, um eine neue Art von Attacken durchzuführen: Statt per Code den Rechner zum Ausführen von Befehlen zu bewegen, könnte der Rechner auch per Audio-Datei mit Sprachbefehlen mißbraucht werden.

Das Microsoft Security Response Center (MSRC) nimmt diese Berichte zum Anlass, um seine Sicht der Gefahrenlange darzustellen. Dabei wird unter anderem darauf verwiesen, dass gewisse Voraussetzungen erfüllt sein müssen, damit so eine Attacke überhaupt funktionieren könnte.

Zunächst einmal müsste der Anwender die Spracherkennung aktivieren und ständig im Hintergrund laufen lassen. Zusätzlich müssten an dem Rechner sowohl Lautsprecher als auch Mikrofon angeschlossen und eingeschaltet sein. Nun müsste die von Angreifern speziell kreierte Sprachdatei auf dem Rechner laufen, so dass die Sprachbefehle über die Lautsprecher ausgegeben werden, vom Mikrofon aufgefangen und dann von der Spracherkennung ausgeführt werden.

Das alles könnte allerdings nicht passieren, ohne dass der Anwender es mitbekommt und genügend Zeit hat, einzugreifen. Selbst wenn der Angriff klappt, so das MSRC, sei da noch immer die Benutzerkontensteuerung, die bei systemkritischen Befehlen ein Popup-Fenster erscheinen lässt und es somit verhindern würde, dass solche Befehle direkt ausgeführt werden. Dieses Popup-Fenster der Benutzerkontensteuerung ist seitens Microsoft so konzipiert, dass es sich nicht über einen Sprachbefehl steuern lässt. Der Anwender muss also standardmäßig immer per Maus oder Tastatur die Bestätigung für einen Befehl geben. Ein weiterer Grund also, mit der Benutzerkontosteuerung zu leben und sie nicht der Bequemlichkeit halber auszuschalten.

Das MSRT weist außerdem darauf hin, dass zusätzlich auch die Lautsprecher und das Mikrofon so platziert sein müssten, dass überhaupt der Inhalt der Audio-Datei als Sprachbefehle von der Spracherkennung interpretiert werden könnten. Hinzu kämen, dass die Qualität der Sounddatei und die Aussprache des Sprechers so gut sein müssten, dass die Spracherkennung sie überhaupt erkennt.

"Wir nehmen alle Berichte ernst und untersuchen sie. Ich bin mir aber sicher, dass man sich in diesem Fall wenig Sorgen machen muss", schreibt ein Mitarbeiter des MSRC. (PC-Welt/mja)