عقبنشینی مایکروسافت؛ مرورگر اج دیگر رمزهای عبورتان را در رَم رها نمیکند
مایکروسافت پساز مواجهه با موجی از انتقادات تند، سرانجام تصمیم گرفت از یکی از طراحیهای بحثبرانگیز خود در اج عقبنشینی کند. تا پیش از این، مرورگر اج بهمحض اجراشدن، تمام رمزهای عبور ذخیرهشدهی کاربر را بهطور خودکار رمزگشایی کرده و آنها را بهصورت متن باز (Plaintext) در رم سیستم بارگذاری میکرد؛ اقدامی که راه را برای سرقت بیدردسر اطلاعات توسط بدافزارها هموار میکرد.
رویهی خطرناک اج هفتهی گذشته توسط یک محقق امنیتی بهنام تام یوران سونستهبایستر رونینگ فاش شد. او با استفاده از محیط Command Prompt ویندوز با دسترسی ادمین نشان داد که چگونه یک ابزار ساده میتواند تمام رمزهای عبور موجود در مرورگر اج را بهراحتی استخراج کند.
به گفتهی رونینگ، مرورگر اج تمام رمزهای عبور را برای کل مدتزمان وبگردی کاربر در حافظه نگه میداشت؛ حتی اگر کاربر اصلا نیازی به آن رمزها پیدا نمیکرد. رونینگ با اشاره به اینکه گوگل کروم رمزها را «تنها در زمان نیاز» رمزگشایی میکند، تأکید کرد که اج تنها مرورگر بر پایهی کرومیوم است که چنین رفتار عجیبی از خود نشان میدهد.
مایکروسافت در ابتدا در واکنش به گزارش رونینگ، اعلام کرد که این عملکرد «کاملا عمدی» بوده و با هدف ورود سریعتر و روانتر کاربران به حسابهایشان طراحی شده؛ گرت ایوانز، مدیر امنیت مرورگر اج توضیح داد که اگر یک هکر یا بدافزار توانسته باشد دسترسی ادمین سیستم را بهدست بیاورد، آن دستگاه از اساس، آلوده شده و جلوگیری از سرقت رمزها در چنین شرایطی، از حوزهی وظایف مرورگر خارج میشود؛ رویکردی که به گفتهی او در تمام مرورگرهای مدرن یکسان است.
دفاعیهی مایکروسافت نهتنها کاربران را قانع نکرد؛ بلکه به بحثهای گستردهای دربارهی سهلانگاریهای امنیتی مایکروسافت دامن زد. در نهایت، حجم بالای اعتراضات و نگرانیهای امنیتی باعث شد تا مایکروسافت در راستای تعهدات خود در پروژهی Secure Future Initiative، رویکرد دفاع چندلایهای را در پیش بگیرد و تصمیم خود را تغییر دهد.
اندرو ریتز، معاون امنیت مرورگر اج، با انتشار پستی در شبکهی اجتماعی لینکدین تأیید کرد که مایکروسافت در حال رفع فوری این مشکل است. او نوشت: «ما دیگر رمزهای عبور را در زمان اجرای مرورگر، روی رم بارگذاری نمیکنیم. وقتی شما رمز عبورتان را در اج ذخیره میکنید، در واقع اطلاعات بسیار شخصی خود را به ما سپردهاید و ما این موضوع را دستکم نمیگیریم. رفتار گزارششده شاید خطرات جدیدی ایجاد نکند؛ اما نقطهی پایان کار ما هم نیست.»
رمزهای عبور در مرورگر اج از این پس، تنها «در زمانِ نیاز» و بهصورت آنی رمزگشایی خواهند شد. اصلاحیهی اج هماکنون در کانال آزمایشی Canary فعال شده است و در اولویت انتشار قرار دارد تا با انتشار نسخهی ۱۴۸ و نسخههای پساز آن، به دست تمام کاربران نسخهی پایدار برسد. ریتز در پایان افزود که کاربران نیازی به انجام هیچ کار اضافهای ندارند و تغییرات، بهطور خودکار از طریق کانال معمول سیستم بهروزرسانیها روی دستگاهها اعمال خواهد شد.
مایکروسافت وعده داد که برای جلوگیری از تکرار چنین اتفاقاتی، در حال بازنگری در فرآیند رسیدگی به گزارشهای امنیتی است تا در آینده با سرعت بیشتری به دغدغههای محققان پاسخ دهد.