Trình duyệt Edge của Microsoft đang vấp phải làn sóng chỉ trích gay gắt từ cộng đồng bảo mật. Một nhà nghiên cứu phát hiện Edge tải toàn bộ mật khẩu đã lưu dưới dạng văn bản thuần túy, không mã hóa, vào bộ nhớ RAM ngay khi khởi động, tạo điều kiện cho phần mềm độc hại đánh cắp thông tin đăng nhập.
Phát hiện từ chuyên gia bảo mật
Nhà nghiên cứu bảo mật Tom Jøran Sønstebyseter Rønning đã công bố vấn đề qua một đoạn video minh họa. Ông sử dụng công cụ đơn giản với dòng lệnh quyền quản trị để trích xuất mật khẩu đã lưu trong Edge. Khi người dùng lưu mật khẩu, trình duyệt giải mã toàn bộ thông tin xác thực ngay lúc khởi động và giữ chúng trong bộ nhớ tiến trình, ngay cả khi không truy cập trang web nào liên quan.
Ông Rønning nhấn mạnh Edge là trình duyệt dựa trên Chromium duy nhất hoạt động theo cách này trong số các sản phẩm ông thử nghiệm. Trong khi đó, Google Chrome chỉ giải mã thông tin đăng nhập khi cần thiết cho chức năng tự động điền, sau đó xóa ngay khỏi bộ nhớ.
Microsoft lên tiếng
Microsoft phản bác báo cáo, cho rằng mối đe dọa chỉ xuất hiện khi hacker đã có quyền kiểm soát máy tính, thường qua phần mềm độc hại. Công ty khẳng định việc truy cập dữ liệu như mô tả đòi hỏi thiết bị đã bị xâm nhập trước đó.
Microsoft giải thích cách tiếp cận hiện tại nhằm cải thiện trải nghiệm người dùng, giúp đăng nhập nhanh và an toàn hơn. Họ cho biết các lựa chọn thiết kế cân bằng giữa hiệu năng, khả năng sử dụng và bảo mật, đồng thời sẽ tiếp tục xem xét trước các mối đe dọa đang phát triển.
Khuyến nghị gây tranh cãi
Phần khuyến nghị cuối cùng của Microsoft gây lo ngại khi công ty đề xuất người dùng cài đặt bản cập nhật bảo mật và phần mềm diệt virus. Điều này gợi ý bảo mật tích hợp của Windows chưa đủ, dù trước đó Microsoft từng khẳng định Windows 11 đã đủ bảo vệ cho hầu hết người dùng.
Phản ứng từ cộng đồng
Vấn đề châm ngòi cho cuộc tranh luận trong cộng đồng công nghệ. Một số cho rằng nguy hiểm bị thổi phồng vì yêu cầu quyền quản trị bị chiếm đoạt, khi đó nạn nhân đã đối mặt với nhiều loại tấn công khác. Bên kia đặt câu hỏi tại sao Microsoft không triển khai bảo mật mạnh hơn cho lưu trữ mật khẩu.
Dịch vụ thư viện phần mềm độc hại Vx Underground lưu ý rằng phần mềm độc hại có thể dùng tiến trình trong bộ nhớ Edge để trích xuất mật khẩu trên máy tính gia đình. Tuy nhiên, trong môi trường doanh nghiệp, việc này khó hơn do yêu cầu quyền quản trị và token bảo mật có thể kích hoạt cảnh báo.
Nhà nghiên cứu Rob VandenBrink tái hiện phát hiện bằng cách tạo memory dump từ Task Manager khi Edge đang chạy. File dump chứa mật khẩu đã lưu, nhưng quy trình này đòi hỏi quyền truy cập cục bộ.
