مرورگر اج رمزهای عبور را بدون رمزنگاری در حافظه بارگذاری میکند؛ مایکروسافت: جای نگرانی نیست!
مشخص شده است که مرورگر اج هنگام اجرای اولیه، تمام رمزهای عبور را بهصورت متنِساده در حافظه ذخیره میکند. این کار خواندن و سرقت پسوردها را برای بدافزارها یا هکرها بسیار آسانتر میکند. یک محقق امنیت سایبری با نام کاربری L1v1ng0ffTh3L4N@ در شبکهی اجتماعی ایکس X دربارهی آسیبپذیری پستی منتشر کرده و میگوید: «اج تنها مرورگر مبتنیبر کرومیوم است که من تست کردهام و چنین رفتاری دارد.»
او ادعا میکند: «وقتی پسوردهای خود را در مرورگر اج ذخیره میکنید، این مرورگر بهمحض اجراشدن، قفلِ تمام پسوردها را باز (رمزگشایی) میکند و آنها را بهصورت آمادهبهکار در RAM نگه میدارد؛ حتی اگر اصلا به سایتهای مربوط به آن پسوردها سر نزنید! در چنین شرایطی، اگر یک هکر بتواند دسترسی مدیریتی (Admin) به سیستم یا سرور پیدا کند، بهراحتی میتواند حافظهی در حال اجرای تمام کاربرانی را که وارد سیستم شدهاند، بخواند.»
برخلاف کروم که پسوردها را تنها در صورت نیاز کاربر بازخوانی میکند، اج بهمحض اجرا، تمام رمزهای عبور را بدون رمزنگاری در حافظهی سیستم کپی میکند
مرورگر مایکروسافت اج بر پایهی کرومیوم ساخته شده؛ موتوری که در مرورگرهای دیگری مانند کروم، بریو و اپرا نیز بهکار رفته؛ اما بهنظر میرسد اج تنها مرورگر کرومیومی است که تمام پسوردهای ذخیرهشده را هنگام اجرای برنامه بهصورت متنساده در حافظه بارگذاری میکند؛ برای مثال، مرورگر کروم تنها زمانی پسوردها را بهصورت متنساده در حافظه لود میکند که کاربر شخصا درخواست مشاهدهی پسورد را در بخش مدیریت رمزهای عبور یا منوی تکمیل خودکار (Autofill) بدهد.
رسانهی ویندوزسنترال برای دریافت توضیحات دربارهی آسیبپذیری اج با مایکروسافت تماس گرفت و سخنگوی این شرکت بیانیهی زیر را صادر کرد:
«امنیت و ایمنی، پایه و اساس مرورگر اج است؛ برای اینکه کسی بتواند به روشی که در گزارش ادعا شده به دادههای مرورگر دسترسی پیدا کند، سیستم کاربر باید از قبل هک یا به بدافزار آلوده شده باشد. ما در طراحی مرورگر، همواره در حال ایجاد تعادل میان عملکرد، راحتی کاربر و امنیت هستیم و پیوسته، طراحیها را با توجه به خطرات و تهدیدات جدید بررسی میکنیم. مرورگرها برای اینکه به کاربر کمک کنند تا سریع و ایمن وارد حسابهای خود شوند، رمزهای عبور را در حافظه بازخوانی میکنند؛ بنابراین این یک رفتار کاملا طبیعی و پیشبینیشده از برنامه است. به کاربران توصیه میکنیم که برای درامانماندن از خطرات امنیتی، همیشه جدیدترین آپدیتها و نرمافزارهای آنتیویروس را نصب کنند.»
مایکروسافت: دسترسی به پسوردهای اج به این سادگی نیست؛ هکرها تنها درصورتی میتوانند دادهها را بخوانند که از قبل کل سیستم شما را هک و آلوده کرده باشند
بیانیهی مایکروسافت نشان میدهد که ردموندیها از رفتار مرورگر اج آگاه هستند و آن را مشکل بزرگی نمیداند. در واقع، بهنظر میرسد بارگذاری تمام پسوردها بهصورت متنساده در حافظه، یک انتخابِ طراحی آگاهانه است؛ چرا که فرآیند ورود به سیستم و احراز هویت را برای کاربر سرعت میبخشد.
مایکروسافت بهجای تغییر رفتار اج، صرفا به کاربران توصیه میکند که کامپیوترهای خود را با نصب جدیدترین پچهای امنیتی بهروز نگه دارند تا از نصب بدافزارهایی که ممکن است از طراحیِ مرورگر مایکروسافت سوءاستفاده کنند، جلوگیری شود.
در نهایت کاملا مشخص است که مایکروسافت حداقل در حال حاضر نگرانی چندانی دربارهی مشکل بالقوهی اج ندارد؛ درحالیکه مرورگرهای دیگر تنها در صورت درخواست کاربر رمزهای عبور را بهصورت متنساده در حافظه بارگذاری میکنند، ظاهرا اج قرار است به بارگذاری تمام پسوردها بهصورت متنساده در هنگام اجرای برنامه ادامه دهد.