یک پژوهشگر امنیت نروژی، پرده از یک رفتار عجیب و خطرناک در مرورگر مایکروسافت اج (Microsoft Edge) برداشته: او مدعی است که این مرورگر از همان لحظهای که به اجرا درمیآید، تمام رمزهای عبور ذخیرهشده شما را به صورت «متن ساده» در حافظه موقت (RAM) سیستم بارگذاری میکند؛ حتی اگر هنوز وارد هیچیک از سایتهای ذخیرهشده نشده باشید!
رمزهایی که به حال خود رها میشوند
در حالت استاندارد، «ابزار مدیریت رمز عبور» باید پسوردها را فقط در لحظه نیاز (مثل زمان تکمیل خودکار فرم ورود) رمزگشایی و پس از آن بلافاصله از حافظه پاک کند؛ اما در مرورگر اج، اوضاع متفاوت است. این محقق امنیتی با یک آزمایش ساده نشان داده که تنها با تهیه یک فایل خروجی (Dump) از حافظه مرورگر در تسکمنیجر، میتوان به رمزهای کاربر دسترسی یافت.
این در حالیست که خود مرورگر اج برای نمایش همین رمزها در بخش تنظیمات، پینکد یا رمز ویندوز را از شما طلب میکند؛ یک لایه امنیتیِ ظاهری که حالا کاملاً نمایشی و بیاثر به نظر میرسد.
کروم در برابر اج؛ تفاوت در چیست؟
در میان مرورگرهای مبتنی بر «کرومیوم»، تنها «اج» است که چنین رفتار خطرناکی دارد. برای مثال «گوگل کروم» رمزهای عبور را تنها در لحظه نیاز (مثلاً هنگام پر کردن خودکار فرمها) رمزگشایی میکند. همچنین با استفاده از قابلیت App-Bound Encryption، کلیدهای رمزنگاری را قفل میکند تا برنامههای مخرب نتوانند به آنها دسترسی پیدا کنند.
واکنش عجیب مایکروسافت
نکته حیرتانگیز ماجرا، پاسخ رسمی مایکروسافت به این آسیبپذیری است. این شرکت اعلام کرده که این فرآیند نهتنها نقص نیست، بلکه بخشی از «طراحی آگاهانه» این مرورگر است.
با این وجود، آنچه مایکروسافت طراحی آگاهانه مینامد، بهخصوص در کامپیوترهای اشتراکی و سیستمهای اداری فاجعهبار خواهد بود؛ چرا که هر شخص یا بدافزاری که دسترسی ادمین دارد میتواند به راحتی رمزهای تمام کاربران سیستم را به سرقت ببرد.
در آخر؛ برای حفظ امنیت چه باید کرد؟
از آنجا که مایکروسافت قصد اصلاح این رویه را ندارد، کارشناسان امنیتی توصیه میکنند که به هیچوجه از سیستم ذخیره رمز عبور داخلی مرورگر مایکروسافت اج استفاده نکنید. راهکار مناسب در شرایط فعلی، استفاده از نرمافزارهای مدیریت رمز عبور مستقل و معتبر (مانند بیتواردن) است که امنیت اطلاعات شما را در بالاترین سطح تامین میکنند.
