Trình duyệt Edge lưu mật khẩu dạng text không mã hóa ngay trong RAM, Microsoft giải thích: Không phải lỗi, đó là tính năng

Trình duyệt Edge của Microsoft đang đối mặt với làn sóng chỉ trích gay gắt sau khi một nhà nghiên cứu bảo mật phát hiện phần mềm này tải toàn bộ mật khẩu đã lưu dưới dạng text không mã hóa vào bộ nhớ RAM ngay khi khởi động, tạo điều kiện cho phần mềm độc hại đánh cắp thông tin đăng nhập.

Nhà nghiên cứu bảo mật Tom Jøran Sønstebyseter Rønning đã công bố vấn đề này qua một đoạn video minh họa cách sử dụng công cụ đơn giản để trích xuất mật khẩu đã lưu trong Edge thông qua dòng lệnh với quyền quản trị. Theo ông, khi người dùng lưu mật khẩu trong Edge, trình duyệt sẽ giải mã toàn bộ thông tin xác thực ngay lúc khởi động và giữ chúng trong bộ nhớ tiến trình. Điều này xảy ra ngay cả khi người dùng không truy cập vào bất kỳ trang web nào sử dụng các thông tin đăng nhập đó.

Ông Rønning nhấn mạnh Edge là trình duyệt dựa trên Chromium duy nhất trong số các sản phẩm ông thử nghiệm hoạt động theo cách này. Tuy nhiên, Microsoft đã phản bác báo cáo, cho rằng mối đe dọa chỉ xuất hiện khi hacker đã có quyền kiểm soát máy tính của người dùng, thường xảy ra thông qua nhiễm phần mềm độc hại. Công ty này khẳng định việc truy cập dữ liệu trình duyệt như mô tả trong kịch bản báo cáo đòi hỏi thiết bị đã bị xâm nhập trước đó.

Ông Rønning đặt câu hỏi tại sao Microsoft không làm theo cách của Google Chrome, vốn chỉ giải mã thông tin đăng nhập đã lưu khi cần thiết thay vì giữ toàn bộ mật khẩu trong bộ nhớ mọi lúc. Theo ông, Chrome chỉ giải mã thông tin đăng nhập cần thiết cho chức năng tự động điền khi người dùng yêu cầu, sau đó sẽ xóa ngay khỏi bộ nhớ.

Việc trích xuất mật khẩu của nhiều người dùng cũng khả thi nếu hacker giành được quyền truy cập vào một máy chủ đầu cuối Windows. Trong video minh họa, ông Rønning cho thấy kẻ tấn công có thể xâm nhập tài khoản người dùng với đặc quyền quản trị để xem thông tin đăng nhập đã lưu của hai người dùng khác đang đăng nhập. Cách thức này cũng hoạt động thông qua Task Manager bằng cách chọn tiến trình Edge và tạo file memory dump, sau đó mở file này để tìm kiếm thông tin đăng nhập.

Microsoft cho biết cách tiếp cận hiện tại trong việc tải mật khẩu đã lưu vào Edge có thể cải thiện trải nghiệm người dùng. Công ty giải thích các lựa chọn thiết kế trong lĩnh vực này liên quan đến việc cân bằng giữa hiệu năng, khả năng sử dụng và bảo mật, đồng thời khẳng định sẽ tiếp tục xem xét điều này trước các mối đe dọa đang phát triển. Theo Microsoft, trình duyệt truy cập dữ liệu mật khẩu trong bộ nhớ để giúp người dùng đăng nhập nhanh chóng và an toàn, đây là tính năng dự kiến của ứng dụng.

Tuy nhiên, phần khuyến nghị cuối cùng của Microsoft khá gây lo ngại khi công ty đề xuất người dùng cài đặt các bản cập nhật bảo mật mới nhất và phần mềm diệt virus để bảo vệ chống lại các mối đe dọa bảo mật. Điều này gợi ý rằng bảo mật tích hợp sẵn của Windows không đủ để bảo vệ người dùng, mặc dù chính Microsoft từng khuyến nghị phần mềm diệt virus tích hợp trong Windows 11 đã đủ bảo vệ cho hầu hết người dùng.

Vấn đề này đã châm ngòi cho cuộc tranh luận trong cộng đồng công nghệ. Một bộ phận cho rằng mối nguy hiểm bị thổi phồng vì yếu tố tấn công đòi hỏi quyền truy cập quản trị đã bị chiếm đoạt vào máy tính hoặc máy chủ, điều này sẽ khiến nạn nhân phải đối mặt với đủ loại tấn công, bao gồm cả việc đánh cắp mật khẩu từ các chương trình khác. Bên kia lại đặt câu hỏi tại sao Microsoft không đơn giản triển khai bảo mật mạnh hơn cho việc lưu trữ mật khẩu.

Dịch vụ thư viện phần mềm độc hại Vx Underground lưu ý rằng một phần mềm độc hại có thể sử dụng tiến trình trong bộ nhớ của Edge để trích xuất mật khẩu người dùng trên máy tính gia đình. Tuy nhiên, việc sử dụng thành công phương pháp này trong môi trường doanh nghiệp sẽ khó khăn hơn vì nó đòi hỏi quyền truy cập quản trị và một số token truy cập bảo mật có thể ngay lập tức làm dấy lên cảnh báo.

Một nhà nghiên cứu bảo mật khác là Rob VandenBrink đã nhân bản lại các phát hiện bằng cách vào Task Manager và sử dụng chức năng tạo memory dump trong khi trình duyệt Edge đang mở trên máy tính. File memory dump thu được có chứa các mật khẩu đã lưu, nhưng một lần nữa, quy trình này đòi hỏi quyền truy cập cục bộ vào máy tính.