جدل أمني حول متصفح “إيدج” بعد الكشف عن تخزين كلمات المرور دون تشفير
أثار متصفح “مايكروسوفت إيدج”، المثبت افتراضياً في جميع نسخ نظام التشغيل “ويندوز 11”، موجة واسعة من الجدل بعد كشف باحث أمني عن خلل يتعلق بطريقة تخزين كلمات المرور، قبل أن تؤكد شركة “مايكروسوفت” علمها بالأمر واعتباره جزءاً طبيعياً من تصميم المتصفح.
وأوضح الباحث الأمني توم يوران سونستيبيستر رونينغ، الذي اكتشف الخلل، أن “إيدج” يقوم بتخزين كلمات المرور داخل ذاكرة الجهاز بشكل غير مشفّر أثناء تشغيل المتصفح، وفق ما أورده موقع “سايبر نيوز” الأمريكي المتخصص في الأمن السيبراني.
ويعني ذلك أن كلمات المرور قد تصبح عرضة للوصول المباشر في حال تمكن مهاجمون من اختراق ذاكرة الجهاز والسيطرة عليها، وهو سيناريو شائع في الهجمات الإلكترونية المتقدمة.
سلوك مختلف عن متصفحات كروميوم الأخرى
ورغم اعتماد “إيدج” على نواة “كروميوم” مفتوحة المصدر، وهي ذاتها المستخدمة في متصفحات شهيرة مثل “غوغل كروم”، فإن رونينغ أكد عبر منشور على منصة “إكس” أن “إيدج” وحده من بين هذه المتصفحات يتبع هذا الأسلوب في التعامل مع كلمات المرور.
ويتعارض هذا السلوك، بحسب تقرير لمجلة “فوربس”، مع التوصيات المعتمدة لدى خبراء الأمن السيبراني، التي تشدد على ضرورة تخزين كلمات المرور بصورة مشفرة لحمايتها من الوصول غير المصرح به.
في المقابل، اعتبرت “مايكروسوفت” أن هذه الآلية لا تمثل خطراً فعلياً على المستخدمين، مؤكدة أن تخزين كلمات المرور في الذاكرة يُعد جزءاً من التصميم الطبيعي للمتصفح ويسهم في تحسين الأداء وتسريع الوصول إلى الحسابات.
وقال متحدث باسم الشركة لموقع “ويندوز سنترال” إن الوصول إلى هذه البيانات يتطلب أن يكون الجهاز مخترقاً مسبقاً، مشيراً إلى أن “مايكروسوفت” تعتمد توازناً بين الأداء وسهولة الاستخدام ومستوى الأمان.
تحذيرات من استغلال الثغرة ضد الخوادم والمنصات السحابية
وحذر رونينغ من إمكانية استغلال هذه الثغرة في استهداف الخوادم والأنظمة السحابية، إذ قد يتمكن المهاجمون، في حال حصولهم على صلاحيات إدارية داخل الخادم، من الوصول بسهولة إلى كلمات المرور المخزنة في الذاكرة.
وتزداد المخاوف في بيئات العمل التي تعتمد على خوادم تعمل بنظام “ويندوز 11”، حيث يكون متصفح “إيدج” مثبتاً بشكل افتراضي، وقد يستخدمه بعض مسؤولي الأنظمة أو مديري الخدمات السحابية.
وبحسب تقارير تقنية، فإن “مايكروسوفت” على دراية بهذه المشكلة، لكنها فضّلت الإبقاء على آلية التخزين الحالية لتحسين سرعة الوصول إلى بيانات تسجيل الدخول.
وفي ظل غياب تحديث يعالج هذه المسألة حتى الآن، أوصى الباحث الأمني المستخدمين بحذف كلمات المرور المحفوظة داخل “إيدج” والاعتماد على تطبيقات خارجية متخصصة في إدارة كلمات المرور لتعزيز الحماية الأمنية.
