This post is also available in:
English (אנגלית)
דפדפנים מודרניים הפכו למרכז לניהול סיסמאות, עם אחסון מובנה של פרטי התחברות ויכולות כניסה אוטומטית לנוחות המשתמשים. אך האופן שבו האישורים הללו מנוהלים בתוך המערכת עשוי להשפיע משמעותית על האבטחה, במיוחד אם תוקפים מצליחים לקבל גישה למחשב. ממצא חדש העלה סימני שאלה לגבי האופן שבו דפדפן אחד מנהל סיסמאות שמורות בזיכרון במהלך סשן פעיל.
על פי דיווח של Cyber News, דפדפן Microsoft Edge מפענח את כל הסיסמאות השמורות מיד עם הפעלתו ושומר אותן בזיכרון המערכת כטקסט גלוי לאורך כל הסשן. לפי הדיווחים, הדבר מתרחש גם אם המשתמש כלל לא מבקר באתרים הקשורים לאותם פרטי התחברות. ההתנהגות הזו שונה מדפדפנים אחרים המבוססים על Chromium שנבדקו על ידי החוקר, אשר בדרך כלל מפענחים סיסמאות רק בעת הצורך, למשל בזמן מילוי אוטומטי או צפייה ידנית בסיסמה.
הסוגיה משמעותית משום שמידע הנשמר בזיכרון בצורה גלויה עלול להיחשף לתוכנות זדוניות או לתוקפים בעלי הרשאות מתאימות. במקרה זה, החשש מתמקד בתרחישים שבהם לתוקף יש הרשאות ברמת מנהל מערכת, המאפשרות לו לבדוק את זיכרון התהליכים הפעילים ולשלוף פרטי התחברות ישירות מתוך סשן הדפדפן.
דפדפנים אחרים שילבו מנגנוני הגנה נוספים כדי לצמצם את חלון החשיפה הזה. חלקם משתמשים בשיטות הצפנה הקשורות לתהליך הדפדפן עצמו (Process-bound Encryption), המגבילות מתי וכיצד הסיסמאות מופיעות בצורה קריאה. לעומת זאת, שמירה רציפה של כל האישורים כשהם מפוענחים עלולה להקל על גניבת פרטי התחברות לאחר שהמערכת כבר נפרצה.
עם זאת, מומחי אבטחה מציינים כי ניצול החולשה דורש רמת גישה גבוהה במיוחד למחשב היעד. תוקף שמסוגל לקרוא באופן חופשי את זיכרון התהליכים במערכת מחזיק בדרך כלל בשליטה נרחבת על המחשב ממילא. למרות זאת, צמצום חשיפה מיותרת של מידע רגיש נחשב לעיקרון בסיסי בתכנון תוכנה מאובטחת.
מנקודת מבט של סייבר ואבטחת מידע, אבטחת פרטי התחברות הופכת לקריטית יותר ויותר, במיוחד על רקע התפתחות של נוזקות מסוג Infostealer ומתקפות המבוססות על קריאת זיכרון. מערכות המשמשות ארגונים וממשלות רגישות במיוחד לטכניקות המאפשרות חילוץ שקט של נתוני אימות מתוך סשנים פעילים.
הממצאים מחזקים גם המלצות רחבות יותר בתחום ניהול הסיסמאות. אימות רב־שלבי, אישורים מבוססי חומרה ו-Passkeys יכולים להפחית את התלות בסיסמאות שמורות ולצמצם את הנזק במקרה שמכשיר נפרץ.
