سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

May 8, 2026
11:33 جمعه، 18ام اردیبهشتماه 1405
کد خبر: 217312

مرورگر اج رمزهای عبور را بدون رمزنگاری در حافظه بارگذاری می‌کند

منبع: زومیت

یک محقق امنیتی کشف کرده که مرورگر مایکروسافت اج تمام پسوردهای ذخیره‌شده را هنگام اجرا به‌صورت متنِ‌ساده در حافظه بارگذاری می‌کند؛ موضوعی که مایکروسافت
مشخص شده است که مرورگر اج هنگام اجرای اولیه، تمام رمزهای عبور را به‌صورت متنِ‌ساده در حافظه ذخیره می‌کند. این کار خواندن و سرقت پسوردها را برای بدافزارها یا هکرها بسیار آسان‌تر می‌کند. یک محقق امنیت سایبری با نام کاربری L1v1ng0ffTh3L4N@ در شبکه‌ی اجتماعی ایکس X درباره‌ی آسیب‌پذیری پستی منتشر کرده و می‌گوید: «اج تنها مرورگر مبتنی‌بر کرومیوم است که من تست کرده‌ام و چنین رفتاری دارد.»

او ادعا می‌کند: «وقتی پسوردهای خود را در مرورگر اج ذخیره می‌کنید، این مرورگر به‌محض اجراشدن، قفلِ تمام پسوردها را باز (رمزگشایی) می‌کند و آن‌ها را به‌صورت آماده‌به‌کار در RAM نگه می‌دارد؛ حتی اگر اصلا به سایت‌های مربوط به آن پسوردها سر نزنید! در چنین شرایطی، اگر یک هکر بتواند دسترسی مدیریتی (Admin) به سیستم یا سرور پیدا کند، به‌راحتی می‌تواند حافظه‌ی در حال اجرای تمام کاربرانی را که وارد سیستم شده‌اند، بخواند.»

برخلاف کروم که پسوردها را تنها در صورت نیاز کاربر بازخوانی می‌کند، اج به‌محض اجرا، تمام رمزهای عبور را بدون رمزنگاری در حافظه‌ی سیستم کپی می‌کند

مرورگر مایکروسافت اج بر پایه‌ی کرومیوم ساخته شده؛ موتوری که در مرورگرهای دیگری مانند کروم، بریو و اپرا نیز به‌کار رفته؛ اما به‌نظر می‌رسد اج تنها مرورگر کرومیومی است که تمام پسوردهای ذخیره‌شده را هنگام اجرای برنامه به‌صورت متن‌ساده در حافظه بارگذاری می‌کند؛ برای مثال، مرورگر کروم تنها زمانی پسوردها را به‌صورت متن‌ساده در حافظه لود می‌کند که کاربر شخصا درخواست مشاهده‌ی پسورد را در بخش مدیریت رمزهای عبور یا منوی تکمیل خودکار (Autofill) بدهد.

رسانه‌ی ویندوزسنترال برای دریافت توضیحات درباره‌ی آسیب‌پذیری اج با مایکروسافت تماس گرفت و سخنگوی این شرکت بیانیه‌ی زیر را صادر کرد:

«امنیت و ایمنی، پایه و اساس مرورگر اج است؛ برای اینکه کسی بتواند به روشی که در گزارش ادعا شده به داده‌های مرورگر دسترسی پیدا کند، سیستم کاربر باید از قبل هک یا به بدافزار آلوده شده باشد. ما در طراحی مرورگر، همواره در حال ایجاد تعادل میان عملکرد، راحتی کاربر و امنیت هستیم و پیوسته، طراحی‌ها را با توجه به خطرات و تهدیدات جدید بررسی می‌کنیم. مرورگرها برای اینکه به کاربر کمک کنند تا سریع و ایمن وارد حساب‌های خود شوند، رمزهای عبور را در حافظه بازخوانی می‌کنند؛ بنابراین این یک رفتار کاملا طبیعی و پیش‌بینی‌شده از برنامه است. به کاربران توصیه می‌کنیم که برای درامان‌ماندن از خطرات امنیتی، همیشه جدیدترین آپدیت‌ها و نرم‌افزارهای آنتی‌ویروس را نصب کنند.»

مایکروسافت: دسترسی به پسوردهای اج به این سادگی نیست؛ هکرها تنها درصورتی می‌توانند داده‌ها را بخوانند که از قبل کل سیستم شما را هک و آلوده کرده باشند

بیانیه‌ی مایکروسافت نشان می‌دهد که ردموندی‌ها از رفتار مرورگر اج آگاه هستند و آن را مشکل بزرگی نمی‌داند. در واقع، به‌نظر می‌رسد بارگذاری تمام پسوردها به‌صورت متن‌ساده در حافظه، یک انتخابِ طراحی آگاهانه است؛ چرا که فرآیند ورود به سیستم و احراز هویت را برای کاربر سرعت می‌بخشد.

مایکروسافت به‌جای تغییر رفتار اج، صرفا به کاربران توصیه می‌کند که کامپیوترهای خود را با نصب جدیدترین پچ‌های امنیتی به‌روز نگه دارند تا از نصب بدافزارهایی که ممکن است از طراحیِ مرورگر مایکروسافت سوءاستفاده کنند، جلوگیری شود.

در نهایت کاملا مشخص است که مایکروسافت حداقل در حال حاضر نگرانی چندانی درباره‌ی مشکل بالقوه‌ی اج ندارد؛ درحالی‌که مرورگرهای دیگر تنها در صورت درخواست کاربر رمزهای عبور را به‌صورت متن‌ساده در حافظه بارگذاری می‌کنند، ظاهرا اج قرار است به بارگذاری تمام پسوردها به‌صورت متن‌ساده در هنگام اجرای برنامه ادامه دهد.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.