Seorang peneliti keamanan siber telah menyoroti kerentanan keamanan yang signifikan di Microsoft Edge, mengungkapkan bahwa browser memuat semua kata sandi yang disimpan ke dalam memori dalam teks biasa saat startup. Perilaku ini terjadi terlepas dari apakah pengguna bermaksud menggunakan pengelola kata sandi selama sesi tersebut, sehingga berpotensi mengekspos kredensial kepada penyerang yang telah memperoleh akses administratif ke perangkat.
Kerentanan: Teks Biasa dalam Memori
Tom Jøran Sønstebyseter Rønning, seorang peneliti keamanan siber, merinci masalah ini di X (sebelumnya Twitter). Dia menemukan bahwa Microsoft Edge mendekripsi setiap kata sandi yang disimpan dan menyimpannya di memori komputer segera setelah browser diluncurkan.
Hal ini sangat berbeda dengan browser berbasis Chromium lainnya, seperti Google Chrome. Rønning mencatat bahwa Chrome menggunakan desain arsitektur berbeda yang mempersulit penyerang untuk mengekstrak sandi yang disimpan hanya dengan membaca memori proses.
“Edge adalah satu-satunya browser berbasis Chromium yang saya uji yang berperilaku seperti ini,” kata Rønning.
Risiko ini sangat akut pada lingkungan yang dikelola bersama atau dikelola. Seperti yang dijelaskan Rønning, jika penyerang mendapatkan akses administratif pada server terminal, mereka dapat mengakses memori semua proses pengguna yang masuk, secara efektif mengambil kata sandi tanpa perlu melewati kunci enkripsi yang disimpan di disk.
Tanggapan Microsoft: Ini “Sesuai Desain”
Saat dihubungi mengenai temuan ini, Microsoft membela arsitektur browsernya. Seorang juru bicara mengatakan kepada Mashable bahwa perilaku tersebut adalah fitur yang diharapkan yang dimaksudkan untuk menyeimbangkan kinerja, kegunaan, dan keamanan.
“Keselamatan dan keamanan adalah dasar dari Microsoft Edge,” kata juru bicara tersebut. “Akses ke data browser seperti yang dijelaskan dalam skenario yang dilaporkan mengharuskan perangkat sudah disusupi… Browser mengakses data kata sandi di memori untuk membantu pengguna masuk dengan cepat dan aman.”
Microsoft menekankan bahwa pilihan desain ini memfasilitasi login yang cepat dan aman bagi pengguna. Namun, mereka mengakui bahwa kemudahan ini ada konsekuensinya, dan mereka merekomendasikan agar pengguna selalu memperbarui pembaruan keamanan dan perangkat lunak antivirus untuk memitigasi risiko.
Standar Industri vs. Implementasi
Pengungkapan ini telah memicu perdebatan mengenai praktik terbaik keamanan siber. Publikasi teknologi Jerman Heise Online berhasil mereplikasi masalah ini dan menunjukkan bahwa protokol keamanan yang ada umumnya mengharuskan kata sandi hanya didekripsi pada saat digunakan dan segera dihapus dari memori setelahnya.
Dengan menyimpan semua kata sandi yang didekripsi di memori sepanjang sesi, Edge menyimpang dari prinsip ini. Meskipun Microsoft berpendapat bahwa hal ini meningkatkan pengalaman pengguna dengan memastikan kata sandi siap digunakan segera, pakar keamanan berpendapat bahwa hal ini tidak perlu meningkatkan permukaan serangan jika perangkat disusupi.
Apa Artinya Bagi Pengguna
Insiden ini menimbulkan pertanyaan penting tentang bagaimana raksasa teknologi menyeimbangkan kenyamanan dan keamanan. Meskipun menyediakan kata sandi adalah hal yang mudah, menyimpannya dalam teks biasa di memori akan menciptakan satu titik kegagalan jika sistem operasi atau browser dibobol.
Bagi pengguna yang khawatir dengan kerentanan khusus ini, para ahli menyarankan dua tindakan utama:
– Gunakan pengelola kata sandi khusus: Pengelola kata sandi pihak ketiga sering kali menawarkan kontrol yang lebih terperinci mengenai bagaimana dan kapan kredensial didekripsi dan disimpan dalam memori.
– Memastikan keamanan perangkat yang kuat: Karena kerentanan memerlukan akses administratif untuk mengeksploitasinya, selalu memperbarui sistem operasi dan perangkat lunak antivirus sangat penting untuk mencegah penyusupan awal.
Singkatnya, meskipun Microsoft menyatakan bahwa penanganan kata sandi Edge adalah pilihan desain yang disengaja demi kinerja, praktik menyimpan semua kata sandi dalam teks biasa di memori tetap merupakan penyimpangan penting dari standar keamanan yang lebih ketat, sehingga mendorong pengguna untuk tetap waspada terhadap integritas perangkat.
