خبرني - تسبب متصفح "إيدج" التابع لشركة "مايكروسوفت"، والذي يأتي مثبتا بشكل مسبق في كافة إصدارات نظام التشغيل "ويندوز 11″، بضجة كبيرة بعد أن اكتشف باحث أمني خللا في آلية تخزين كلمات المرور بالمتصفح، ثم تواصل مع الشركة لتخبره بأن هذا أمر طبيعي ولديها علم به.
ويؤكد توم يوران سونستيبيستر رونينغ الباحث الأمني الذي اكتشف الخلل أن المتصفح يقوم بتخزين كلمات المرور غير مشفرة في ذاكرة الجهاز عند تشغيله، بحسب تقرير موقع "سايبر نيوز" التقني الأمريكي.
ويجعل هذا الأمر الوصول إلى كلمات المرور سهلا عند الهجوم على ذاكرة الجهاز والاستيلاء عليها بشكل كامل، وهو الأمر الذي يحدث عادة عند وجود هجوم سيبراني ضد أي نظام تشغيل.
ورغم أن متصفح "إيدج" يعتمد على نواة "كروميوم" مفتوحة المصدر، وهي النواة ذاتها المسؤولة عن تشغيل متصفحات مثل "غوغل كروم"، إلا أن "إيدج" هو الوحيد الذي يقوم بهذا التصرف، وفق منشور رونينغ في منصة "إكس" للتواصل الاجتماعي.
ويخالف سلوك "إيدج" التوجيهات العالمية من خبراء الأمن السيبراني التي تقتضي تخزين كلمات المرور مشفرة والحفاظ عليها بعيدة عن أيدي المخترقين، وفق تقرير مجلة "فوربس" الأمريكية.
وترى "مايكروسوفت" من جانبها هذا الأمر متوقعا ولا يشكل خطرا حقيقيا على حسابات المستخدمين وكلمات المرور الخاصة بهم، بحسب الرد الذي وصل إلى رونينغ عندما حاول التواصل مع الشركة، وفقا لتقرير "فوربس".
وأضاف المتحدث الرسمي لمايكروسوفت في تصريح لموقع "ويندوز سنترال" التقني الأمريكي، أن تخزين كلمات المرور في الذاكرة ميزة متوقع في المتصفح وتجعله يعمل بشكل أسرع.
وأكد المتحدث أن "السلامة والأمن تُعدّان من الركائز الأساسية في "مايكروسوفت إيدج"، حيث يتطلب الوصول إلى بيانات المتصفح -وفق السيناريو الوارد في التقرير- أن يكون الجهاز مخترقا بالفعل"، مشيرا إلى أن الشركة تتبع خيارات التصميم التي توازن بين الأداء وسهولة الاستخدام وأمان المستخدمين.
ما سبب الخوف من الثغرة؟
وحذر رونينغ في تغريدته من إمكانية استغلال هذه الثغرة بشكل سلبي في الهجوم على الخوادم الخارجية للشركات، فإذا تمكن المخترقون من الحصول على صلاحيات إدارة الخادم سيتمكنون من الاطلاع على كلمات المرور المخزنة في الذاكرة بسهولة.
وتزداد خطورة الأمر في خوادم المنصات والخدمات السحابية التي قد تستخدم "إيدج" نظرا لأنه مثبت بالفعل في "ويندوز 11" وربما يُستخدم من بعض مديري الخوادم السحابية.
في المقابل يشير تصريح مايكروسوفت إلى أنها على علم بوجود الثغرة، كما جاء في تقرير "ويندوز سنترال" وآثرت تركها لتسريع عملية الوصول إلى كلمات المرور وحسابات المستخدمين.
وبينما لا يمكن تحديث "إيدج" دون تدخل مايكروسوفت وإصلاح الثغرة مباشرة من الشركة، إلا أن رونينغ ينصح بحذف كافة كلمات المرور المخزنة في المتصفح ونقلها إلى أداة إدارة كلمات مرور خارجية.
وتوجد العديد من أدوات إدارة كلمات المرور الخارجية التي يمكن للمستخدمين تثبيتها وربطها مع المتصفحات المختلفة بما فيها إيدج، وفي هذه الحالة، تتولى أداة خارجية إدارة كلمات المرور وتخزينها وتمنح المتصفح مفتاح التشفير عند احتياجه له أو محاولة تسجيل الدخول في الموقع فقط.
