Microsoft Edge bị phát hiện lưu mật khẩu dạng văn bản thuần trong bộ nhớ
Một lỗ hổng bảo mật mới đã hé lộ rằng trình duyệt Microsoft Edge lưu trữ toàn bộ mật khẩu người dùng dưới dạng văn bản thuần (clear text) trong bộ nhớ RAM, bất kể có đang sử dụng hay không. Hành vi này tạo điều kiện thuận lợi cho các phần mềm độc hại đánh cắp thông tin đăng nhập nếu máy tính bị xâm nhập.
Microsoft Edge bị phát hiện lưu mật khẩu dạng văn bản thuần trong bộ nhớ
Một lỗ hổng bảo mật mới đã hé lộ rằng trình duyệt Microsoft Edge lưu trữ toàn bộ mật khẩu người dùng dưới dạng văn bản thuần (clear text) trong bộ nhớ RAM, bất kể có đang sử dụng hay không. Hành vi này tạo điều kiện thuận lợi cho các phần mềm độc hại đánh cắp thông tin đăng nhập nếu máy tính bị xâm nhập.
Vấn đề nằm ở đâu?
Theo thông tin được chia sẻ gần đây trên các diễn đàn kỹ thuật, Microsoft Edge có xu hướng giải mã và giữ các mật khẩu đã lưu trong bộ nhớ hệ thống ngay sau khi trình duyệt khởi động. Điều khác biệt ở đây là các mật khẩu này vẫn tồn tại ở dạng văn bản thuần trong RAM, thậm chí khi người dùng không mở trình quản lý mật khẩu hoặc không truy cập vào các trang web yêu cầu đăng nhập.
Thông thường, một trình quản lý mật khẩu tốt chỉ nên giải mã dữ liệu khi cần thiết và xóa chúng khỏi bộ nhớ ngay sau khi sử dụng xong để giảm thiểu rủi ro.
Rủi ro đối với người dùng
Việc lưu mật khẩu dạng văn bản thuần trong bộ nhớ gây ra rủi ro nghiêm trọng trong trường hợp máy tính của người dùng bị nhiễm phần mềm độc hại (malware). Kẻ tấn công có thể sử dụng các kỹ thuật "quét bộ nhớ" (memory scraping) để trích xuất dữ liệu trực tiếp từ RAM.
Nếu máy tính của bạn bị nhiễm mã độc, hacker có thể dễ dàng lấy được tất cả các mật khẩu bạn đã lưu trên Edge mà không cần phải phá vỡ bất kỳ lớp mã hóa nào.
So sánh với các trình duyệt khác
Mặc dù hầu hết các trình duyệt đều cần tải dữ liệu vào bộ nhớ để hoạt động, nhưng việc giữ chúng ở dạng không được mã hóa (unencrypted) và không tự động dọn dẹp khi không sử dụng được coi là một sai lầm trong thiết kế bảo mật. Các trình duyệt khác thường có cơ chế xử lý bộ nhớ khắt khe hơn để hạn chế việc lộ dữ liệu nhạy cảm nếu hệ thống bị tấn công.
Lời khuyên cho người dùng
Để bảo vệ tài khoản của mình tốt hơn trong thời gian chờ Microsoft khắc phục vấn đề này, người dùng nên cân nhắc các biện pháp sau:
- Sử dụng trình quản lý mật khẩu bên thứ ba uy tín có tính năng bảo mật bộ nhớ tốt hơn.
- Kích hoạt xác thực hai yếu tố (2FA) cho tất cả các tài khoản quan trọng.
- Thường xuyên quét virus và đảm bảo hệ điều hành cũng như trình duyệt luôn được cập nhật bản vá mới nhất.
- Hạn chế lưu mật khẩu trực tiếp trên trình duyệt cho các tài khoản ngân hàng hoặc tài khoản chứa nhiều thông tin nhạy cảm.
