أثار متصفح إيدج التابع لشركة مايكروسوفت، والمثبت مسبقا في إصدارات نظام التشغيل ويندوز 11، جدلا واسعا بعد اكتشاف باحث امني لخلل في الية تخزين كلمات المرور بالمتصفح، ثم تواصل مع الشركة لتخبره بان هذا امر طبيعي ولديها علم به.
واكد توم يوران سونستيبيستر رونينغ الباحث الامني الذي اكتشف الخلل ان المتصفح يقوم بتخزين كلمات المرور غير مشفرة في ذاكرة الجهاز عند تشغيله، بحسب تقرير موقع سايبر نيوز التقني الامريكي.
ويجعل هذا الامر الوصول الى كلمات المرور سهلا عند الهجوم على ذاكرة الجهاز والاستيلاء عليها بشكل كامل، وهو الامر الذي يحدث عادة عند وجود هجوم سيبراني ضد اي نظام تشغيل.
ورغم ان متصفح ايدج يعتمد على نواة كروميوم مفتوحة المصدر، وهي النواة ذاتها المسؤولة عن تشغيل متصفحات مثل جوجل كروم، الا ان ايدج هو الوحيد الذي يقوم بهذا التصرف، وفق منشور رونينغ في منصة اكس للتواصل الاجتماعي.
ويخالف سلوك ايدج التوجيهات العالمية من خبراء الامن السيبراني التي تقتضي تخزين كلمات المرور مشفرة والحفاظ عليها بعيدة عن ايدي المخترقين، وفق تقرير مجلة فوربس الامريكية.
وترى مايكروسوفت من جانبها هذا الامر متوقعا ولا يشكل خطرا حقيقيا على حسابات المستخدمين وكلمات المرور الخاصة بهم، بحسب الرد الذي وصل الى رونينغ عندما حاول التواصل مع الشركة، وفقا لتقرير فوربس.
واضاف المتحدث الرسمي لمايكروسوفت في تصريح لموقع ويندوز سنترال التقني الامريكي ان تخزين كلمات المرور في الذاكرة ميزة متوقعة في المتصفح وتجعله يعمل بشكل اسرع.
واكد المتحدث ان السلامة والامن تعدان من الركائز الاساسية في مايكروسوفت ايدج، حيث يتطلب الوصول الى بيانات المتصفح وفق السيناريو الوارد في التقرير ان يكون الجهاز مخترقا بالفعل، مشيرا الى ان الشركة تتبع خيارات التصميم التي توازن بين الاداء وسهولة الاستخدام وامان المستخدمين.
ما سبب الخوف من الثغرة؟
وحذر رونينغ في تغريدته من امكانية استغلال هذه الثغرة بشكل سلبي في الهجوم على الخوادم الخارجية للشركات، فاذا تمكن المخترقون من الحصول على صلاحيات ادارة الخادم سيتمكنون من الاطلاع على كلمات المرور المخزنة في الذاكرة بسهولة.
وتزداد خطورة الامر في خوادم المنصات والخدمات السحابية التي قد تستخدم ايدج نظرا لانه مثبت بالفعل في ويندوز 11 وربما يستخدم من بعض مديري الخوادم السحابية.
وفي المقابل يشير تصريح مايكروسوفت الى انها على علم بوجود الثغرة، كما جاء في تقرير ويندوز سنترال واثرت تركها لتسريع عملية الوصول الى كلمات المرور وحسابات المستخدمين.
وبينما لا يمكن تحديث ايدج دون تدخل مايكروسوفت واصلاح الثغرة مباشرة من الشركة، الا ان رونينغ ينصح بحذف كافة كلمات المرور المخزنة في المتصفح ونقلها الى اداة ادارة كلمات مرور خارجية.
وتوجد العديد من ادوات ادارة كلمات المرور الخارجية التي يمكن للمستخدمين تثبيتها وربطها مع المتصفحات المختلفة بما فيها ايدج، وفي هذه الحالة تتولى اداة خارجية ادارة كلمات المرور وتخزينها وتمنح المتصفح مفتاح التشفير عند احتياجه له او محاولة تسجيل الدخول في الموقع فقط.
