Nhà nghiên cứu bảo mật người Na Uy, Tom Jøran Sønstebyseter Rønning, vừa công bố một phát hiện gây chấn động trong cộng đồng an ninh mạng: trình duyệt Microsoft Edge lưu trữ mật khẩu dưới dạng văn bản dễ đọc trong bộ nhớ RAM, ngay cả khi trình duyệt đang hoạt động. Phát hiện này được Rønning minh họa qua một video đăng tải trên mạng xã hội X.
Microsoft Edge bị chỉ trích vì cơ chế lưu mật khẩu gây rủi ro bảo mật
Theo kết quả điều tra chi tiết, Edge không chỉ giải mã mật khẩu khi tự động điền vào các biểu mẫu đăng nhập, mà còn lưu trữ toàn bộ thông tin đăng nhập đã được lưu trong bộ nhớ hệ thống suốt thời gian trình duyệt hoạt động. Điều này đồng nghĩa với việc nếu một kẻ tấn công có quyền truy cập cục bộ vào máy tính, chúng có thể dễ dàng trích xuất thông tin nhạy cảm này từ bộ nhớ RAM mà không cần mở trình quản lý mật khẩu của trình duyệt.
Microsoft thừa nhận vấn đề với Microsoft Edge
Microsoft đã xác nhận rằng hành vi này là có chủ ý và khẳng định đó là một quyết định thiết kế, không phải là lỗi phần mềm. Tuy nhiên, công ty vẫn chưa đưa ra lời giải thích rõ ràng về lợi ích thực tiễn của việc lưu trữ dữ liệu nhạy cảm như vậy trong bộ nhớ máy tính. Đối với những người dùng sử dụng Microsoft Edge làm trình quản lý mật khẩu chính, phát hiện này đặt ra những câu hỏi nghiêm trọng về quyền riêng tư và bảo mật cục bộ.
Video minh họa và phản ứng từ cộng đồng
Đáng chú ý, các trình duyệt dựa trên Chromium khác, như Google Chrome, không gặp phải vấn đề tương tự. Trong hầu hết các trường hợp, thông tin xác thực chỉ được giải mã khi sử dụng và sẽ bị xóa ngay sau đó, giúp giảm thiểu thời gian dữ liệu bị lộ trong bộ nhớ. Tuy nhiên, với Microsoft Edge, logic hoạt động dường như khác biệt đáng kể.
Rønning đã công bố một công cụ thử nghiệm trên GitHub cho phép người dùng tự xác minh cách thức trích xuất mật khẩu từ RAM ở định dạng dễ đọc. Các hệ thống xác thực tích hợp trong trình duyệt cũng không ngăn chặn được kiểu trích xuất này, dẫn đến sự chỉ trích gia tăng trong cộng đồng an ninh mạng. Nhiều chuyên gia kêu gọi người dùng Edge nên cân nhắc sử dụng các giải pháp quản lý mật khẩu chuyên dụng để bảo vệ thông tin cá nhân.
