Hay que ser justos. Obviamente saliendo Windows Vista habrán muchos que se dedicarán a comentar y buscar sus fallas para efectos de poder decir que es un Sistema Operativo poco seguro o mal terminado. Claramente lo anterior raya en la exageración ya que todo producto humano está proclive a tener errores dentro de un margen aceptable. Sin embargo, cuando es la propia Compañía la que reconoce fallas no menores en su producto, entonces la cosa es bastante distinta y eso está sucediendo en este momento con el flamante nuevo OS de Microsoft.
Después de varios reportes que lo daban como hecho, Microsoft ha terminado por reconocer que Windows Vista posee una vulnerabilidad que podría permitir a cierto usuario hacer uso de la función de Reconocimiento de Voz del Sistema Operativo, para verbalmente ejecutar comandos en el Computador de un tercero. Estos comandos estarían limitados a los derechos del usuario que se encuentra ingresado en el sistema («logged on«) ya que el User Account Control («Control de Cuenta del Usuario«) prohíbe a un atacante ejecutar cualquier comando en cualquier nivel Administrativo.
Luego de un tiempo en silencio, Microsoft, por medio de un vocero, emitió el siguiente comunicado que se los entregamos a continuación íntegramente,
«Microsoft se encuentra investigando reportes públicos de una posible vulnerabilidad en la función de reconocimiento de voz de Windows Vista. Las investigaciones iniciales de Vista revelan que esta vulnerabilidad podría permitir a un atacante el usar la función de reconocimiento de voz en Windows Vista para verbalmente ejecutar comandos en un computador de otro usuario. Los comandos del atacante están limitados únicamente a los derechos del usuario ingresado. El Control de Cuenta del Usuario prohíbe que el atacante ejecute cualquier comando a nivel administrativo.
Para que el ataque sea exitoso, el usuario debería tener un micrófono y parlantes conectados a su sistema. Además, el usuario debería tener configurada la función de reconocimiento de voz. El archivo de audio del atacante podría entonces enviar comandos verbales a través de los parlantes del sistema los cuales potencialmente podrían llevarse a cabo mediante la función de reconocimiento de voz. Basándose en la investigación inicial, Microsoft recomienda a sus clientes llevar a cabo las siguientes acciones para protegerse de potenciales abusos de la vulnerabilidad reportada:
- Un usuario puede apagar sus parlantes y/o micrófono de su computador.
- Si un usuario ejecuta un archivo de audio que intente ejecutar comandos en su sistema, debe cerrar Windows Media Player, apagar el sistema de reconocimiento de voz y reiniciar su computador.
Microsoft continuará su investigación y entregará consejos adicionales y formas de mitigación
para ayudar a proteger a los clientes tanto como sea necesario. Una vez finalizada esta investigación, Microsoft tomará las acciones para ayudar a proteger a sus clientes.
Es importante notar que Windows Vista ha sido desarrollado con la mayor atención en relación al tema de la seguridad y es el primer Sistema Operativo basado en el cliente que pasa por el completo Ciclo de Vida De Desarrollo de Seguridad [«Security Development Lifecycle» o «SDL»]. Basándose en los significativos avances en seguridad logrados por Windows XP Service Pack 2, Windows Vista incluye cambios fundamentales en la arquitectura, los cuales ayudarán a que nuestros clientes estén más seguros de las amenazas en evolución, incluyendo gusanos, virus y malware. Estas mejoras minimizan la superficie de ataque del sistema operativo, que a cambio mejora la integridad del sistema y las aplicaciones, y ayuda a que las organizaciones manejen y aíslen de manera más segura sus redes.
Los clientes que crean verse afectados deben contactarse con el Servicio de Soporte de Productos [«Product Support Services»] sin costo alguno, usando la línea PC Safety (1866-PCSAFETY), y los clientes de otros países, usando cualquier método encontrado en este link: https://support.microsoft.com/security.»
En general, es recomendable fijarse un poco en la función de Reconocimiento de Voz de Vista. A pesar de ello, las buenas defensas de seguridad nunca debiesen confiar en las acciones del usuario para prevenir los problemas.
Para algunos, Microsoft podría filtrar los sonidos que provienen del Computador y que reingresan al sistema por medio del micrófono, antes que éstos sean procesados por el motor de Reconocimiento de Voz, y así se podría tener una solución a largo plazo. Una de más corto plazo, sería que Microsoft implementara una tecla, como Apple, que permita al usuario seleccionar una única palabra a decir para efectos de habilitar el motor de Reconocimiento de Voz.
A pesar que esta falla no puede ejecutarse con privilegios administrativos, puede ser bastante molesta. En efecto, se puede crear un archivo de audio que inicie el sistema de Reconocimiento de Voz de Vista, abra Windows Explorer, borre documentos de una carpeta y luego los elimine de la papelera de reciclaje. Además, debe considerarse el hecho que muchos usuarios dejan páginas Webs abiertas durante la noche y muchas de ellas pueden tener avisos que pueden emitir sonidos.
Actualización: Hace pocas horas, gente del Centro de Respuesta de Seguridad de Microsoft («Microsoft Security Response Center» o «MSRC«) le bajó el perfil al problema indicando que,
«…hay muy poca, si es que la hay, necesidad de preocuparse en relación a los efectos de este problema en la nueva versión de Windows.»