مائیکروسافٹ ایج میں پاس ورڈز کو کیسے ہینڈل کیا جاتا ہے اس کے بارے میں ایک بڑی سیکیورٹی تشویش کا اظہار کیا گیا ہے، جب ایک نارویجن سائبر سیکیورٹی محقق نے پایا کہ براؤزر اسناد کو میموری میں واضح متن میں محفوظ کرتا ہے۔ محقق، Tom Jøran Sønstebyseter Rønning نے اطلاع دی ہے کہ Microsoft Edge میں محفوظ کیے گئے پاس ورڈ سسٹم کی میموری میں غیر انکرپٹڈ رہتے ہیں۔ یہ حساس لاگ ان ڈیٹا کو ہر اس شخص کے سامنے لا سکتا ہے جو دوسرے ذرائع سے کمپیوٹر تک رسائی حاصل کر سکتا ہے، بشمول مشترکہ انتظامی مراعات کے حامل صارفین۔

محقق، Tom Jøran Sønstebyseter Rønning نے اطلاع دی ہے کہ Microsoft Edge میں محفوظ کیے گئے پاس ورڈ سسٹم کی میموری میں غیر انکرپٹڈ رہتے ہیں۔ یہ حساس لاگ ان ڈیٹا کو ہر اس شخص کے سامنے لا سکتا ہے جو دوسرے ذرائع سے کمپیوٹر تک رسائی حاصل کر سکتا ہے، بشمول مشترکہ انتظامی مراعات کے حامل صارفین۔

Rønning نے نوٹ کیا کہ Edge دوسرے Chromium پر مبنی براؤزرز سے مختلف برتاؤ کرتا ہے جس کا اس نے تجربہ کیا ہے۔ ان کے مطابق، اس زمرے میں یہ واحد براؤزر ہے جو اس طریقے سے اسناد کو محفوظ کرتا ہے۔

مائیکروسافٹ کو اس مسئلے کی اطلاع دینے کے بعد، روننگ نے کہا کہ انہیں مطلع کیا گیا تھا کہ طرز عمل "ڈیزائن کے لحاظ سے" ہے۔

انہوں نے مزید وضاحت کی کہ ایج اسٹارٹ اپ کے وقت تمام ذخیرہ شدہ اسناد کو ڈیکرپٹ کرتا ہے، قطع نظر اس کے کہ صارف سیشن کے دوران ان اسناد سے وابستہ ویب سائٹس کا دورہ کرتا ہے۔ تاہم، ان پاس ورڈز تک رسائی آسان نہیں ہے۔ ایک حملہ آور کو اب بھی کسی ایسے نظام تک انتظامی رسائی کی ضرورت ہوگی، جو پہلے سے ہی سنگین حفاظتی خلاف ورزی کی نمائندگی کرتا ہے۔ اس طرح کی رسائی کے ساتھ، وہ تمام لاگ ان صارفین کے عمل کی میموری کو دیکھ سکتے ہیں۔

یہ ایک ایسا منظر نامہ بھی بناتا ہے جہاں ایک اکاؤنٹ پر انتظامی حقوق رکھنے والا شخص ممکنہ طور پر اسی سسٹم میں لاگ ان دوسرے صارفین سے تعلق رکھنے والے ذخیرہ شدہ اسناد تک رسائی حاصل کر سکتا ہے۔ اس کو ظاہر کرنے کے لیے، Rønning نے GitHub پر ایک Edge پاس ورڈ ڈمپنگ ٹول شائع کیا جو اس طرح کے حملے کو کیسے انجام دے سکتا ہے۔

اگرچہ یہ عام طور پر قبول کیا جاتا ہے کہ انتظامی رسائی پہلے سے ہی کسی نظام پر اہم کنٹرول کی اجازت دیتی ہے، لیکن صورتحال اضافی خدشات کو جنم دیتی ہے۔ بہت سے صارفین اپنے پی سی کو بطور ڈیفالٹ انتظامی مراعات کے ساتھ چلاتے ہیں۔ یہاں تک کہ اس طرح کے معاملات میں، پاس ورڈ مینیجرز اور خدمات کو اکثر تصدیق کے اضافی اقدامات کی ضرورت ہوتی ہے، جیسے ماسٹر پاس ورڈ یا دو عنصر کی توثیق۔

انٹرنیشنل سائبر ڈائجسٹ کے مطابق، میموری میں کلیئر ٹیکسٹ میں پاس ورڈز کو محفوظ کرنے سے مشترکہ ماحول میں خطرہ بڑھ جاتا ہے، اور مؤثر طریقے سے ایسے سسٹمز کو اسناد کی کٹائی کے ممکنہ ذرائع میں تبدیل کر دیتے ہیں۔

پچھلے سال، LopezLucio666 کے نام سے مشہور ایک محقق نے مائیکرو سافٹ کے ساتھ مسئلہ اٹھایا۔ جواب میں، کمپنی نے کہا کہ "محتاط چھان بین کے بعد، اس کیس کا اندازہ لگایا گیا ہے کہ یہ کوئی خطرہ نہیں ہے اور نہ ہی کوئی سیکیورٹی مسئلہ ہے اور یہ فوری سروسنگ کے لیے مائیکروسافٹ کے بار کو پورا نہیں کرتا ہے۔"

مقابلے کے لحاظ سے، گوگل کروم اسناد کی ڈکرپشن کو مختلف طریقے سے ہینڈل کرتا ہے۔ Chrome صرف ضرورت پڑنے پر پاس ورڈز کو ڈیکرپٹ کرتا ہے، بجائے اس کے کہ انہیں ہر وقت میموری میں ڈکرپٹ کیا جائے۔ یہ ڈکرپشن کے عمل کو ایک توثیق شدہ کروم کے عمل سے بھی جوڑتا ہے، جس سے سسٹم پر موجود دیگر عملوں کو اس کی انکرپشن کیز تک رسائی کو نقل کرنے سے روکتا ہے۔

مائیکروسافٹ نے اپنے پاس ورڈ مینیجر سیکیورٹی کے عمومی سوالنامہ کے صفحے پر اس موضوع کے پہلوؤں کو حل کیا ہے۔ کمپنی کا کہنا ہے کہ یہاں تک کہ اگر حملہ آور کے پاس انتظامی حقوق یا سسٹم تک آف لائن رسائی ہے، اس کے ڈیزائن کا مقصد ایسے صارفین کے لیے سادہ متن کے پاس ورڈ تک رسائی کو روکنا ہے جو فعال طور پر لاگ ان نہیں ہیں۔

تاہم، Tom Jøran Sønstebyseter Rønning اور دیگر محققین کے نتائج سے پتہ چلتا ہے کہ بعض شرائط کے تحت حملہ آوروں کو سادہ متن کی اسناد تک رسائی سے روکنے میں تحفظات مکمل طور پر موثر نہیں ہو سکتے۔ ان خدشات کی وجہ سے مائیکروسافٹ کو رویے کا دوبارہ جائزہ لینے کا مطالبہ کیا گیا ہے۔

📢 تازہ ترین ٹیک اور ٹیلی کام کی خبروں، ویڈیوز اور تجزیوں کے لیے ابھی ProPakistani کے WhatsApp گروپ میں شامل ہوں!

گوگل نیوز پر پرو پاکستانی کو فالو کریں اور اپنے پسندیدہ مواد کو تیزی سے اسکرول کریں!

شیئرز