Microsoft Edge ถูกตั้งคำถามเรื่องความปลอดภัย หลังมีรายงานว่านักวิจัยพบว่าเบราว์เซอร์อาจโหลดรหัสผ่านที่ผู้ใช้บันทึกไว้ทั้งหมดขึ้นมาเก็บใน RAM แบบ plaintext หรืออยู่ในรูปแบบที่สามารถอ่านได้ชัดเจน ตั้งแต่ตอนเปิดใช้งานโปรแกรม แม้ผู้ใช้จะยังไม่ได้เข้าเว็บไซต์นั้น ๆ หรือกดใช้ฟีเจอร์กรอกรหัสผ่านอัตโนมัติก็ตาม

รายงานดังกล่าวมาจากนักวิจัยด้านความปลอดภัย Tom Jøran Sønstebyseter Rønning ซึ่งได้เปิดเผยพฤติกรรมของ Microsoft Edge พร้อมปล่อยเครื่องมือทดสอบแบบ proof-of-concept บน GitHub ในชื่อ EdgeSavedPasswordsDumper เพื่อให้ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ใช้ตรวจสอบได้ว่า Edge จัดการกับรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์อย่างไร

จากการทดสอบ นักวิจัยพบว่าเมื่อเปิด Microsoft Edge ขึ้นมา เบราว์เซอร์อาจถอดรหัสข้อมูลบัญชีที่ผู้ใช้เคยบันทึกไว้ใน Password Manager แล้วนำไปเก็บอยู่ในหน่วยความจำของโปรเซสหลักของเบราว์เซอร์ โดยข้อมูลที่พบอาจรวมถึงชื่อผู้ใช้และรหัสผ่านในรูปแบบที่อ่านออกได้ แม้ในระหว่างนั้นผู้ใช้จะยังไม่ได้เข้าเว็บที่เกี่ยวข้อง หรือยังไม่ได้เรียกใช้รหัสผ่านเหล่านั้นเลยก็ตาม

ประเด็นนี้ทำให้เกิดความกังวล เพราะหากมีมัลแวร์หรือผู้ไม่หวังดีที่สามารถเข้าถึงหน่วยความจำของโปรเซส Edge ได้ ก็อาจใช้วิธี memory dump เพื่อดึงข้อมูลรหัสผ่านที่ถูกเก็บอยู่ใน RAM ออกมาได้ง่ายกว่าที่ควรจะเป็น โดยเฉพาะในกรณีที่เครื่องถูกควบคุมจากระยะไกล มีโปรแกรมอันตรายรันอยู่ในระบบ หรือมีผู้โจมตีได้สิทธิ์ระดับสูงบนเครื่องแล้ว

อย่างไรก็ตาม เรื่องนี้ต้องแยกให้ชัดว่า ไม่ได้หมายความว่าใครก็สามารถแฮก Microsoft Edge จากระยะไกลแล้วขโมยรหัสผ่านของผู้ใช้ได้ทันที เพราะการโจมตีลักษณะนี้จำเป็นต้องมีเงื่อนไขก่อน เช่น ผู้โจมตีต้องเข้าถึงเครื่องของเหยื่อได้อยู่แล้ว มีมัลแวร์อยู่ในระบบ หรือมีสิทธิ์เข้าถึง process memory ของ Edge ได้ จึงจะสามารถดึงข้อมูลจาก RAM ออกมาได้

จุดที่ทำให้ประเด็นนี้ถูกจับตามองมากขึ้นคือ Microsoft reportedly ตอบกลับนักวิจัยว่า พฤติกรรมดังกล่าวเป็น “by design” หรือเป็นไปตามการออกแบบของระบบ ไม่ใช่บั๊กทั่วไปที่บริษัทมองว่าต้องแก้ไขในทันที โดยเหตุผลหนึ่งที่ถูกพูดถึงคือการออกแบบลักษณะนี้อาจเกี่ยวข้องกับการเพิ่มความสะดวกและความเร็วในการเรียกใช้ข้อมูลล็อกอินของผู้ใช้

แม้ Microsoft Edge จะมีระบบยืนยันตัวตนก่อนดูหรือกรอกรหัสผ่าน เช่น Windows Hello, PIN หรือรหัสผ่านของเครื่อง แต่การป้องกันเหล่านี้ช่วยป้องกันในระดับหน้าจอการใช้งานหรือ UI เป็นหลัก ไม่ได้แปลว่าจะสามารถป้องกันกรณีที่ผู้โจมตีมีสิทธิ์อ่านข้อมูลจาก RAM หรือเข้าถึงหน่วยความจำของโปรเซสได้โดยตรงเสมอไป

นักวิจัยยังระบุด้วยว่า พฤติกรรมดังกล่าวดูเหมือนจะแตกต่างจากเบราว์เซอร์ Chromium ตัวอื่น ๆ อย่าง Google Chrome และ Brave ที่มักถอดรหัสข้อมูลเฉพาะตอนที่จำเป็นต้องใช้ เช่น ตอนผู้ใช้กด autofill หรือเข้าไปดูรหัสผ่านที่บันทึกไว้ ไม่ได้โหลดรหัสผ่านทั้งหมดขึ้นมาไว้ในหน่วยความจำตั้งแต่เปิดเบราว์เซอร์ในลักษณะเดียวกัน

สำหรับผู้ใช้ทั่วไป ประเด็นนี้ไม่จำเป็นต้องตื่นตระหนกจนถึงขั้นเลิกใช้ Edge ทันที แต่ควรใช้เป็นจังหวะในการทบทวนว่ามีรหัสผ่านอะไรบ้างที่บันทึกไว้ในเบราว์เซอร์ โดยเฉพาะบัญชีสำคัญ เช่น อีเมลหลัก บัญชีทำงาน ระบบธนาคาร โซเชียลมีเดียหลัก หรือบัญชีที่ใช้กู้คืนบริการอื่น ๆ

หากเป็นบัญชีที่มีความสำคัญสูง ผู้ใช้ควรพิจารณาใช้ password manager เฉพาะทางแทนการฝากรหัสผ่านทั้งหมดไว้กับ browser password manager เพียงอย่างเดียว รวมถึงเปิดใช้งานการยืนยันตัวตนสองชั้น หรือ 2FA และ passkeys เพิ่มเติม เพื่อลดความเสี่ยงในกรณีที่รหัสผ่านหลุดออกไป

ส่วนฝั่งองค์กรควรให้ความสำคัญกับเรื่องนี้มากกว่าผู้ใช้ทั่วไป เพราะหากพนักงานบันทึกรหัสผ่านสำคัญไว้ในเบราว์เซอร์ และเครื่องใดเครื่องหนึ่งถูกมัลแวร์หรือผู้โจมตีเข้าควบคุมได้สำเร็จ ข้อมูลบัญชีภายในองค์กรอาจกลายเป็นเป้าหมายที่ถูกดึงออกมาได้ง่ายขึ้น โดยเฉพาะในสภาพแวดล้อมที่มีการใช้เครื่องร่วมกันหลายคน หรือมีบัญชีผู้ดูแลระบบเข้ามาเกี่ยวข้อง

คำแนะนำเบื้องต้นสำหรับผู้ใช้คือ ควรอัปเดต Microsoft Edge และ Windows ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หลีกเลี่ยงการติดตั้งโปรแกรมหรือส่วนขยายที่ไม่รู้แหล่งที่มา ไม่เปิดไฟล์ต้องสงสัย และเปิดใช้ 2FA กับบัญชีสำคัญทั้งหมด ส่วนรหัสผ่านที่มีความสำคัญมาก ควรย้ายไปเก็บใน password manager ที่มีระบบป้องกันแยกต่างหาก

สรุปแล้ว กรณีนี้ไม่ใช่ช่องโหว่ที่ทำให้ผู้ใช้ Microsoft Edge ทุกคนถูกแฮกได้ทันที แต่เป็นพฤติกรรมด้านการจัดการรหัสผ่านที่อาจเพิ่มความเสี่ยง หากเครื่องของผู้ใช้ถูกเจาะหรือติดมัลแวร์อยู่ก่อนแล้ว ข่าวนี้จึงเป็นอีกหนึ่งสัญญาณเตือนว่า การฝากรหัสผ่านทั้งหมดไว้กับเบราว์เซอร์อาจไม่ใช่ทางเลือกที่ปลอดภัยที่สุด โดยเฉพาะกับบัญชีที่มีความสำคัญสูงหรือใช้งานในระดับองค์กร

ที่มา : Neowin