هشدار: پسوردهایتان را در مرورگر Edge ذخیره نکنید

یک محقق امنیتی به‌تازگی اعلام کرده است که در هنگام اجرای مرورگر مایکروسافت اج، تمامی رمزهای عبور ذخیره‌شده به‌صورت متن ساده در حافظه سیستم بارگذاری می‌شود. این اقدام می‌تواند سطح ریسک دسترسی غیرمجاز به اطلاعات کاربران را افزایش دهد.

بررسی‌ها نشان می‌دهد که اج در همان اجرای اولیه، تمام پسوردها را بدون رمزنگاری در حافظه نگه می‌دارد. این موضوع باعث می‌شود بدافزارها یا مهاجمان، در صورت دسترسی به سیستم، راحت‌تر بتوانند به داده‌های حساس دست پیدا کنند.

یک پژوهشگر امنیت سایبری در شبکه اجتماعی X با انتشار پستی در این‌باره گفته است که در میان مرورگرهای مبتنی بر کرومیوم که آزمایش کرده، تنها اج چنین رفتاری دارد. به گفته وی زمانی که کاربر رمزهای عبور خود را در اج ذخیره می‌کند، این مرورگر بلافاصله پس از اجرا آن‌ها را رمزگشایی کرده و در حافظه RAM نگه می‌دارد. حتی اگر کاربر هیچ‌گاه به وب‌سایت‌های مرتبط مراجعه نکند.

در چنین شرایطی، اگر فردی بتواند به سطح دسترسی مدیریتی سیستم برسد، امکان خواندن حافظه و استخراج پسوردهای کاربران فراهم خواهد شد. این در حالی است که مرورگرهایی مانند گوگل کروم تنها زمانی رمزهای عبور را به‌صورت متن ساده در حافظه بارگذاری می‌کنند که کاربر به‌صورت مستقیم درخواست مشاهده آن‌ها را ثبت کند؛ برای مثال از طریق بخش مدیریت رمزهای عبور یا قابلیت Autofill می‌توان به این قابلیت دسترسی داشت.

با وجود اینکه مایکروسافت اج نیز بر پایه موتور کرومیوم توسعه یافته، به نظر می‌رسد در این بخش رفتاری متفاوت با سایر مرورگرهای هم‌خانواده خود دارد و تمام پسوردها را از همان ابتدا در حافظه قرار می‌دهد.

سخنگوی این شرکت در بیانیه‌ای اعلام کرد که برای سوءاستفاده از این سناریو، سیستم کاربر باید از قبل آلوده یا هک شده باشد. به گفته مایکروسافت، طراحی اج با هدف ایجاد تعادل میان امنیت، عملکرد و سهولت استفاده انجام شده و بارگذاری رمزها در حافظه نیز بخشی از همین رویکرد برای تسریع فرآیند ورود کاربران به حساب‌های کاربری است.

مایکروسافت تأکید کرده که این رفتار، یک انتخاب طراحی آگاهانه محسوب می‌شود و تهدید مستقیمی برای کاربران عادی به حساب نمی‌آید؛ مگر در شرایطی که سیستم از پیش در معرض نفوذ قرار گرفته باشد. این شرکت همچنین توصیه کرده کاربران برای کاهش ریسک، سیستم‌عامل و نرم‌افزارهای امنیتی خود را همواره به‌روز نگه دارند.

در مجموع، شواهد نشان می‌دهد مایکروسافت فعلاً برنامه‌ای برای تغییر این رفتار در مرورگر اج ندارد و آن را بخشی از معماری فعلی محصول خود می‌داند؛ تصمیمی که در مقایسه با سایر مرورگرهای کرومیومی، رویکردی متفاوت در مدیریت رمزهای عبور به شمار می‌رود.