Tra le novità da provare e analizzare in Windows Vista troviamo la "Speech Recognition", in italiano "riconoscimento vocale".
Secondo quanto riportato sul blog di George Ou su Zdnet, le potenzialità della nuova funzionalità potrebbero essere sfruttate da un malitenzionato per far intraprendere al sistema "azioni indesiderate". Il tutto potrebbe essere semplice, quanto pericoloso: hostando su un sito web dei file vocali creati ad hoc, si potrebbe sovvertire il riconoscimento vocale per impartire delle azioni nocive al sistema operativo.
Microsoft ha subito commentato questa teoria. Ecco la risposta:
Sebbene sia tecnicamente possibile, ci sono alcune cose che dovrebbero essere considerate: per far sì che un attacco abbia successo, il sistema dovrebbe avere il riconoscimento vocale attivo e configurato. Inoltre il sistema dovrebbe possedere un microfono e un sistema sonoro installato e attivato. Questo scenario richiede inoltre che al riconoscimento vocale siano impartiti comandi attraverso il microfono come “copy”, “delete”, ”shutdown”, etc.
Questi comandi potrebbero arrivare da un file audio in ascolto attraverso gli speaker con l'utente che, se davanti agli speaker, potrebbe accorgersi prontamente del problema. Non è possibile utilizzare i comandi vocali per far sì che il sistema agisca sui privilegi, come la creazione di un utente senza passare attraverso l'UAC per le credenziali di administrator.
L'UAC non può essere manipolato di default dalla voce. Ci sono inoltre ulteriori ostacoli che rendono un attacco difficoltoso: disposizione di speaker e microfono, feedback del microfono e chiarezza nella sillabazione.
Microsoft al momento ritiene che vi siano possibilità alquanto remote che l'exploit in questione possa aver successo, ma ha comunque assicurato l'attenzione sul caso. Gli utenti italiano possono dormire sogni tranquilli: questa funzionalità è disponibile solo per gli utenti inglesi (USA e Regno Unito), francesi, tedeschi, spagnoli, giapponesi, cinesi (tradizionale e semplificato).
