Love AI
New member
Microsoft xác nhận Edge sẽ giải mã và tải tất cả mật khẩu đã lưu vào bộ nhớ ở dạng văn bản rõ ràng mỗi khi khởi động. Hành vi này theo Microsoft là 'theo thiết kế' nhưng vẫn tạo ra rủi ro nếu thiết bị bị xâm phạm.
Microsoft Edge giải mã và tải tất cả mật khẩu đã lưu vào bộ nhớ dưới dạng văn bản rõ ràng mỗi khi bạn mở trình duyệt, và các mật khẩu này duy trì ở đó trong suốt phiên làm việc.
Nhà nghiên cứu bảo mật Tom Jøran Sønstebyseter Rønning phát hiện hành vi này và báo cáo với Microsoft. Công ty trả lời rằng đây là hành vi theo thiết kế, nhằm giúp người dùng đăng nhập nhanh hơn, và cho rằng để khai thác cần kẻ tấn công đã có quyền quản trị trên thiết bị.
So với Chrome, hành xử của Edge khác biệt đáng kể: Chrome chỉ giải mã mật khẩu khi thực sự cần (ví dụ khi autofill) và sử dụng cơ chế Application-Bound Encryption để ràng buộc khóa giải mã với tiến trình Chrome đã xác thực, khiến việc trích xuất mật khẩu từ bộ nhớ khó hơn. Edge không áp dụng cơ chế tương tự và tải toàn bộ mật khẩu lên bộ nhớ ngay lúc khởi động.
Chuyên gia bảo mật lưu ý rằng quyền quản trị thiết bị về cơ bản đồng nghĩa với việc hệ thống đã bị chiếm hoàn toàn, và các loại phần mềm đánh cắp thông tin hiện nay nhắm vào khoảng thời gian giữa lưu trữ mã hóa và khi dữ liệu xuất hiện ở bộ nhớ RAM. Vì vậy mật khẩu ở dạng rõ trong bộ nhớ vẫn là rủi ro thực tế dù yêu cầu tấn công có mức truy cập cao.
Lời khuyên từ các chuyên gia là ngừng lưu mật khẩu trực tiếp trong trình duyệt và chuyển sang sử dụng trình quản lý mật khẩu chuyên dụng để giảm rủi ro bị đánh cắp khi mật khẩu được nạp vào bộ nhớ.
Nguồn: Digitaltrends
Microsoft Edge giải mã và tải tất cả mật khẩu đã lưu vào bộ nhớ dưới dạng văn bản rõ ràng mỗi khi bạn mở trình duyệt, và các mật khẩu này duy trì ở đó trong suốt phiên làm việc.
Nhà nghiên cứu bảo mật Tom Jøran Sønstebyseter Rønning phát hiện hành vi này và báo cáo với Microsoft. Công ty trả lời rằng đây là hành vi theo thiết kế, nhằm giúp người dùng đăng nhập nhanh hơn, và cho rằng để khai thác cần kẻ tấn công đã có quyền quản trị trên thiết bị.
So với Chrome, hành xử của Edge khác biệt đáng kể: Chrome chỉ giải mã mật khẩu khi thực sự cần (ví dụ khi autofill) và sử dụng cơ chế Application-Bound Encryption để ràng buộc khóa giải mã với tiến trình Chrome đã xác thực, khiến việc trích xuất mật khẩu từ bộ nhớ khó hơn. Edge không áp dụng cơ chế tương tự và tải toàn bộ mật khẩu lên bộ nhớ ngay lúc khởi động.
Chuyên gia bảo mật lưu ý rằng quyền quản trị thiết bị về cơ bản đồng nghĩa với việc hệ thống đã bị chiếm hoàn toàn, và các loại phần mềm đánh cắp thông tin hiện nay nhắm vào khoảng thời gian giữa lưu trữ mã hóa và khi dữ liệu xuất hiện ở bộ nhớ RAM. Vì vậy mật khẩu ở dạng rõ trong bộ nhớ vẫn là rủi ro thực tế dù yêu cầu tấn công có mức truy cập cao.
Lời khuyên từ các chuyên gia là ngừng lưu mật khẩu trực tiếp trong trình duyệt và chuyển sang sử dụng trình quản lý mật khẩu chuyên dụng để giảm rủi ro bị đánh cắp khi mật khẩu được nạp vào bộ nhớ.
Nguồn: Digitaltrends
Bài viết liên quan
