۱۸ ارديبهشت ۱۴۰۵ - ۱۲:۱۳
کد خبر: ۷۸۵۵۸

مرورگر اج رمز‌های عبور را بدون رمزنگاری در حافظه بارگذاری می‌کند

مرورگر اج رمز‌های عبور را بدون رمزنگاری در حافظه بارگذاری می‌کند
یک محقق امنیتی کشف کرده که مرورگر مایکروسافت اج تمام پسورد‌های ذخیره‌شده را هنگام اجرا به‌صورت متنِ‌ساده در حافظه بارگذاری می‌کند.

به گزارش پایگاه خبری پایداری ملی، مشخص شده است که مرورگر اج هنگام اجرای اولیه، تمام رمز‌های عبور را به‌صورت متنِ‌ساده در حافظه ذخیره می‌کند. این کار خواندن و سرقت پسورد‌ها را برای بدافزار‌ها یا هکر‌ها بسیار آسان‌تر می‌کند. یک محقق امنیت سایبری با نام کاربری L۱v۱ng۰ffTh۳L۴N@ در شبکه‌ی اجتماعی ایکس X درباره‌ی آسیب‌پذیری پستی منتشر کرده و می‌گوید: «اج تنها مرورگر مبتنی‌بر کرومیوم است که من تست کرده‌ام و چنین رفتاری دارد.»

او ادعا می‌کند: «وقتی پسورد‌های خود را در مرورگر اج ذخیره می‌کنید، این مرورگر به‌محض اجراشدن، قفلِ تمام پسورد‌ها را باز (رمزگشایی) می‌کند و آنها را به‌صورت آماده‌به‌کار در RAM نگه می‌دارد؛ حتی اگر اصلا به سایت‌های مربوط به آن پسورد‌ها سر نزنید! در چنین شرایطی، اگر یک هکر بتواند دسترسی مدیریتی (Admin) به سیستم یا سرور پیدا کند، به‌راحتی می‌تواند حافظه‌ی در حال اجرای تمام کاربرانی را که وارد سیستم شده‌اند، بخواند.»

برخلاف کروم که پسورد‌ها را تنها در صورت نیاز کاربر بازخوانی می‌کند، اج به‌محض اجرا، تمام رمز‌های عبور را بدون رمزنگاری در حافظه‌ی سیستم کپی می‌کند

مرورگر مایکروسافت اج بر پایه‌ی کرومیوم ساخته شده؛ موتوری که در مرورگر‌های دیگری مانند کروم، بریو و اپرا نیز به‌کار رفته؛ اما به‌نظر می‌رسد اج تنها مرورگر کرومیومی است که تمام پسورد‌های ذخیره‌شده را هنگام اجرای برنامه به‌صورت متن‌ساده در حافظه بارگذاری می‌کند؛ برای مثال، مرورگر کروم تنها زمانی پسورد‌ها را به‌صورت متن‌ساده در حافظه لود می‌کند که کاربر شخصا درخواست مشاهده‌ی پسورد را در بخش مدیریت رمز‌های عبور یا منوی تکمیل خودکار (Autofill) بدهد.

رسانه‌ی ویندوزسنترال برای دریافت توضیحات درباره‌ی آسیب‌پذیری اج با مایکروسافت تماس گرفت و سخنگوی این شرکت بیانیه‌ی زیر را صادر کرد:

«امنیت و ایمنی، پایه و اساس مرورگر اج است؛ برای اینکه کسی بتواند به روشی که در گزارش ادعا شده به داده‌های مرورگر دسترسی پیدا کند، سیستم کاربر باید از قبل هک یا به بدافزار آلوده شده باشد. ما در طراحی مرورگر، همواره در حال ایجاد تعادل میان عملکرد، راحتی کاربر و امنیت هستیم و پیوسته، طراحی‌ها را با توجه به خطرات و تهدیدات جدید بررسی می‌کنیم. مرورگر‌ها برای اینکه به کاربر کمک کنند تا سریع و ایمن وارد حساب‌های خود شوند، رمز‌های عبور را در حافظه بازخوانی می‌کنند؛ بنابراین این یک رفتار کاملا طبیعی و پیش‌بینی‌شده از برنامه است. به کاربران توصیه می‌کنیم که برای درامان‌ماندن از خطرات امنیتی، همیشه جدیدترین آپدیت‌ها و نرم‌افزار‌های آنتی‌ویروس را نصب کنند.»

مایکروسافت: دسترسی به پسورد‌های اج به این سادگی نیست؛ هکر‌ها تنها درصورتی می‌توانند داده‌ها را بخوانند که از قبل کل سیستم شما را هک و آلوده کرده باشند

بیانیه‌ی مایکروسافت نشان می‌دهد که ردموندی‌ها از رفتار مرورگر اج آگاه هستند و آن را مشکل بزرگی نمی‌داند. در واقع، به‌نظر می‌رسد بارگذاری تمام پسورد‌ها به‌صورت متن‌ساده در حافظه، یک انتخابِ طراحی آگاهانه است؛ چرا که فرآیند ورود به سیستم و احراز هویت را برای کاربر سرعت می‌بخشد.

مایکروسافت به‌جای تغییر رفتار اج، صرفا به کاربران توصیه می‌کند که کامپیوتر‌های خود را با نصب جدیدترین پچ‌های امنیتی به‌روز نگه دارند تا از نصب بدافزار‌هایی که ممکن است از طراحیِ مرورگر مایکروسافت سوءاستفاده کنند، جلوگیری شود.

در نهایت کاملا مشخص است که مایکروسافت حداقل در حال حاضر نگرانی چندانی درباره‌ی مشکل بالقوه‌ی اج ندارد؛ درحالی‌که مرورگر‌های دیگر تنها در صورت درخواست کاربر رمز‌های عبور را به‌صورت متن‌ساده در حافظه بارگذاری می‌کنند، ظاهرا اج قرار است به بارگذاری تمام پسورد‌ها به‌صورت متن‌ساده در هنگام اجرای برنامه ادامه دهد.

گزارش خطا
ارسال نظرات
نام
ایمیل
نظر
captcha