ثغرة في ايدج تثير قلق المستخدمين حول أمان كلمات المرور
أثار متصفح ايدج التابع لشركة مايكروسوفت، والذى ياتى مثبتا بشكل مسبق فى كافة اصدارات نظام التشغيل ويندوز 11، جدلا واسعا بعد اكتشاف باحث امنى خللا فى الية تخزين كلمات المرور بالمتصفح.
ويؤكد الباحث الامنى توم يوران سونستيبيستر رونينغ الذى اكتشف الخلل ان المتصفح يقوم بتخزين كلمات المرور غير مشفرة فى ذاكرة الجهاز عند تشغيله، بحسب تقرير موقع سايبر نيوز التقنى الامريكي.
ويجعل هذا الامر الوصول الى كلمات المرور سهلا عند الهجوم على ذاكرة الجهاز والاستيلاء عليها بشكل كامل، وهو الامر الذى يحدث عادة عند وجود هجوم سيبرانى ضد اى نظام تشغيل.
ورغم ان متصفح ايدج يعتمد على نواة كروميوم مفتوحة المصدر، وهى النواة ذاتها المسؤولة عن تشغيل متصفحات مثل جوجل كروم، الا ان ايدج هو الوحيد الذى يقوم بهذا التصرف، وفق منشور رونينغ فى منصة اكس للتواصل الاجتماعي.
ويخالف سلوك ايدج التوجيهات العالمية من خبراء الامن السيبرانى التى تقتضى تخزين كلمات المرور مشفرة والحفاظ عليها بعيدة عن ايدى المخترقين، وفق تقرير مجلة فوربس الامريكية.
وترى مايكروسوفت من جانبها هذا الامر متوقعا ولا يشكل خطرا حقيقيا على حسابات المستخدمين وكلمات المرور الخاصة بهم، بحسب الرد الذى وصل الى رونينغ عندما حاول التواصل مع الشركة، وفقا لتقرير فوربس.
واضاف المتحدث الرسمى لمايكروسوفت فى تصريح لموقع ويندوز سنترال التقنى الامريكي، ان تخزين كلمات المرور فى الذاكرة ميزة متوقعة فى المتصفح وتجعله يعمل بشكل اسرع.
واكد المتحدث ان السلامة والامن تعدان من الركائز الاساسية فى مايكروسوفت ايدج، حيث يتطلب الوصول الى بيانات المتصفح وفق السيناريو الوارد فى التقرير ان يكون الجهاز مخترقا بالفعل، مشيرا الى ان الشركة تتبع خيارات التصميم التى توازن بين الاداء وسهولة الاستخدام وامان المستخدمين.
وحذر رونينغ فى تغريدته من امكانية استغلال هذه الثغرة بشكل سلبى فى الهجوم على الخوادم الخارجية للشركات، فاذا تمكن المخترقون من الحصول على صلاحيات ادارة الخادم سيتمكنون من الاطلاع على كلمات المرور المخزنة فى الذاكرة بسهولة.
وتزداد خطورة الامر فى خوادم المنصات والخدمات السحابية التى قد تستخدم ايدج نظرا لانه مثبت بالفعل فى ويندوز 11 وربما يستخدم من بعض مديرى الخوادم السحابية.
فى المقابل يشير تصريح مايكروسوفت الى انها على علم بوجود الثغرة، كما جاء فى تقرير ويندوز سنترال واثرت تركها لتسريع عملية الوصول الى كلمات المرور وحسابات المستخدمين.
وبينما لا يمكن تحديث ايدج دون تدخل مايكروسوفت واصلاح الثغرة مباشرة من الشركة، الا ان رونينغ ينصح بحذف كافة كلمات المرور المخزنة فى المتصفح ونقلها الى اداة ادارة كلمات مرور خارجية.
وتوجد العديد من ادوات ادارة كلمات المرور الخارجية التى يمكن للمستخدمين تثبيتها وربطها مع المتصفحات المختلفة بما فيها ايدج، وفى هذه الحالة تتولى اداة خارجية ادارة كلمات المرور وتخزينها وتمنح المتصفح مفتاح التشفير عند احتياجه له او محاولة تسجيل الدخول فى الموقع فقط.
