Góc Hóng Biến: Microsoft Edge Lưu Mật Khẩu Khơi Khơi Trong RAM - Ảo Ma Thực Sự!

Đang xài trình duyệt gì đấy anh em? Nếu đang lướt C4F bằng Microsoft Edge thì khuyên thật, dừng lại khoảng chừng là 2 giây để xem túi tiền và account có còn nguyên vẹn không nhé. Hôm nay cõi mạng đang rần rần quả phốt to như cái đình của nhà Microsoft. Chuyện là thế đ*o nào một trình duyệt 'xịn xò con bò' lại lưu password của người dùng khơi khơi trong RAM.

Tóm tắt nhanh: Phép thuật hắc ám gì đây anh Microsoft?

Nguồn cơn drama bắt đầu từ một pháp sư mạng có handle X (Twitter) là @L1v1ng0ffTh3L4N. Đạo hữu này vừa tung ra một phát hiện khiến bao anh em dev ngã ngửa: Microsoft Edge đang lưu trữ toàn bộ mật khẩu của người dùng trong bộ nhớ (RAM) dưới dạng clear text (văn bản thuần, không mã hóa).

Ảo ma ở chỗ, nó không chỉ lưu lúc các ông đang gõ hay vừa đăng nhập xong. Kể cả khi các ông đ*o dùng đến, password nó vẫn nằm tàng hình ở đấy, bám rễ trong RAM như cách người yêu cũ bám lấy tâm trí bạn vậy. Nghĩa là sao? Nghĩa là nếu máy các ông dính một con malware ất ơ nào đó có khả năng dump RAM, thì xin chúc mừng, toàn bộ kho báu mật khẩu của các ông sẽ bị hốt trọn ổ mà hacker không cần tốn một giọt mồ hôi để giải mã.

Giang cư mận chia phe combat: "Bảo mật chuẩn enterprise là đây sao?"

Bài post bay thẳng lên top Hacker News với hơn 500 điểm score. Phía dưới phần comment là một bãi chiến trường thực sự. Coding4Food tổng hợp nhanh mấy luồng ý kiến chính cho anh em lười lội page:

• Phe fan cứng Firefox: Khỏi phải nói, các trưởng lão xài Cáo Lửa (và Brave) được dịp gáy khét lẹt. "Đấy tao bảo rồi mà không nghe, cứ đâm đầu vào hàng nhà anh Bill cơ", "Xóa Edge đi làm người anh em ơi".
• Phe thực dụng (Thánh nhân đạo lý): Bọn này thì lại bảo: "Ôi dào, nếu máy mày đã bị nhiễm malware có quyền đọc RAM (memory dump), thì coi như game over từ lâu rồi. Bị lấy password hay bị hốt cả ổ cứng thì có khác đ*o gì nhau?". Về lý thuyết thì đúng, quy tắc bảo mật số 1: Kẻ xấu có quyền thực thi code trên máy bạn, thì đó không còn là máy của bạn nữa.
• Phe đổ vỏ cho Chromium: Một vài cao nhân thì đang ngồi phân tích xem đây là "tính năng" của riêng thằng Edge, hay là lỗi chung của lõi Chromium. Nếu là do Chromium thì có khi Chrome nhà Google cũng toang chứ chả đùa.

Góc nhìn từ Coding4Food: Bài học sinh tồn cho thợ code

Đứng từ góc nhìn của một thằng gõ phím thuê, sự kiện này dạy cho anh em mình vài bài học khá thấm.

Thứ nhất, quản lý bộ nhớ đ*o bao giờ là dễ. Khi xử lý dữ liệu nhạy cảm (password, token, private key...), xài xong là phải clear/overwrite bộ nhớ ngay lập tức. Đừng có ỷ lại vào mấy cái Garbage Collector, nó không dọn dẹp theo ý muốn của các ông ngay đâu. Thứ hai, với tư cách là user: Bỏ ngay cái thói quen lưu password trên trình duyệt đi. Xài mẹ một cái Password Manager chuyên dụng (như Bitwarden hay 1Password) cho nó lành. Trình duyệt sinh ra là để lướt web, cắn RAM và thi thoảng hóng drama, chứ không phải cái két sắt.

Chốt hạ: Sự việc vẫn đang gây tranh cãi, Microsoft thì chắc đang huy động anh em dev thức đêm tung hotfix. Cứ lót dép hóng tiếp thôi.

Nguồn hóng hớt: Hacker News / Twitter