Nhà nghiên cứu bảo mật người Na Uy, Tom Jøran Sønstebyseter Rønning, đã phát hiện thông tin bất ngờ khi cho biết Microsoft Edge lưu trữ mật khẩu dưới dạng văn bản dễ đọc trong bộ nhớ RAM, ngay cả khi trình duyệt vẫn đang hoạt động. Phát hiện này được Rønning minh họa qua một video đăng tải trên mạng xã hội X.
Microsoft Edge bị chỉ trích vì cơ chế lưu mật khẩu có thể tạo rủi ro bảo mật nghiêm trọng
ẢNH: WINDOWS LATEST
Theo kết quả điều tra, Edge không chỉ giải mã mật khẩu khi tự động điền, mà còn lưu trữ tất cả thông tin đăng nhập đã lưu trong bộ nhớ hệ thống trong suốt thời gian trình duyệt hoạt động. Điều đó có nghĩa là nếu ai đó có quyền truy cập cục bộ vào máy tính, họ có thể dễ dàng trích xuất thông tin này từ bộ nhớ RAM mà không cần mở trình quản lý mật khẩu của trình duyệt.
Microsoft thừa nhận vấn đề với Microsoft Edge
Microsoft đã xác nhận hành vi này là có chủ ý và cho biết đó là một quyết định thiết kế, không phải là lỗi phần mềm. Tuy nhiên, công ty vẫn chưa giải thích rõ ràng lợi ích thực tiễn của việc lưu trữ dữ liệu nhạy cảm như vậy trong bộ nhớ máy tính. Đối với những người sử dụng Microsoft Edge làm trình quản lý mật khẩu chính, phát hiện này đặt ra những câu hỏi nghiêm trọng về quyền riêng tư và bảo mật cục bộ.
Video minh họa của Rønning
Đáng chú ý, các trình duyệt dựa trên Chromium khác, như Google Chrome, không gặp phải vấn đề tương tự. Trong hầu hết các trường hợp, thông tin xác thực chỉ được giải mã khi sử dụng và sẽ bị xóa ngay sau đó, giúp giảm thiểu thời gian dữ liệu bị lộ trong bộ nhớ. Tuy nhiên, với Microsoft Edge, logic dường như khác biệt.
Rønning đã công bố một công cụ thử nghiệm trên GitHub cho phép người dùng xác minh cách thức trích xuất mật khẩu từ RAM ở định dạng dễ đọc. Các hệ thống xác thực tích hợp trong trình duyệt cũng không ngăn chặn được kiểu trích xuất này, dẫn đến sự chỉ trích gia tăng trong cộng đồng an ninh mạng.
Bình luận (0)