Un ricercatore di sicurezza informatica ha evidenziato una significativa vulnerabilità della sicurezza in Microsoft Edge, rivelando che il browser carica tutte le password salvate in memoria in testo normale all’avvio. Questo comportamento si verifica indipendentemente dal fatto che l’utente intenda utilizzare il gestore password durante quella sessione, esponendo potenzialmente le credenziali agli aggressori che hanno ottenuto l’accesso amministrativo al dispositivo.
La vulnerabilità: testo normale in memoria
Tom Jøran Sønstebyseter Rønning, un ricercatore di sicurezza informatica, ha dettagliato il problema su X (ex Twitter). Ha scoperto che Microsoft Edge decodifica ogni password memorizzata e la conserva nella memoria del computer non appena viene avviato il browser.
Ciò è in netto contrasto con altri browser basati su Chromium, come Google Chrome. Rønning ha notato che Chrome utilizza un design architettonico diverso che rende molto più difficile per gli aggressori estrarre le password salvate semplicemente leggendo la memoria del processo.
“Edge è l’unico browser basato su Chromium che ho testato che si comporta in questo modo”, ha affermato Rønning.
Il rischio è particolarmente acuto negli ambienti condivisi o gestiti. Come ha spiegato Rønning, se un utente malintenzionato ottiene l’accesso amministrativo su un terminal server, può accedere alla memoria di tutti i processi degli utenti che hanno effettuato l’accesso, raccogliendo efficacemente le password senza dover bypassare le chiavi di crittografia archiviate sul disco.
La risposta di Microsoft: è “by design”
Quando è stata contattata in merito a questi risultati, Microsoft ha difeso l’architettura del browser. Un portavoce ha detto a Mashable che il comportamento è una funzionalità prevista intesa a bilanciare prestazioni, usabilità e sicurezza.
“La sicurezza e la protezione sono fondamentali per Microsoft Edge”, ha affermato il portavoce. “L’accesso ai dati del browser come descritto nello scenario segnalato richiederebbe che il dispositivo fosse già compromesso… I browser accedono ai dati delle password in memoria per aiutare gli utenti ad accedere in modo rapido e sicuro.”
Microsoft ha sottolineato che questa scelta progettuale facilita accessi rapidi e sicuri per gli utenti. Tuttavia, hanno riconosciuto che questa comodità comporta dei compromessi, raccomandando agli utenti di mantenere aggiornati gli aggiornamenti di sicurezza e il software antivirus per mitigare i rischi.
Standard di settore e implementazione
La rivelazione ha acceso il dibattito sulle migliori pratiche di sicurezza informatica. La pubblicazione tecnologica tedesca Heise Online ha replicato con successo il problema e ha sottolineato che i protocolli di sicurezza stabiliti generalmente impongono che le password debbano essere decrittografate solo al momento dell’uso e rimosse dalla memoria immediatamente dopo.
Mantenendo tutte le password decrittografate in memoria per tutta la sessione, Edge si discosta da questo principio. Mentre Microsoft sostiene che ciò migliora l’esperienza dell’utente garantendo che le password siano pronte per l’uso immediato, gli esperti di sicurezza sostengono che aumenta inutilmente la superficie di attacco se il dispositivo viene compromesso.
Cosa significa per gli utenti
Questo incidente solleva importanti domande su come i giganti della tecnologia bilanciano la comodità con la sicurezza. Sebbene avere le password prontamente disponibili sia conveniente, memorizzarle in testo normale in memoria crea un singolo punto di errore in caso di violazione del sistema operativo o del browser.
Per gli utenti preoccupati per questa specifica vulnerabilità, gli esperti suggeriscono due principali linee d’azione:
– Utilizza un gestore di password dedicato: i gestori di password di terze parti spesso offrono un controllo più granulare su come e quando le credenziali vengono decrittografate e archiviate in memoria.
– Garantire una solida sicurezza del dispositivo: poiché la vulnerabilità richiede l’accesso amministrativo per essere sfruttata, mantenere aggiornati il sistema operativo e il software antivirus è fondamentale per prevenire la compromissione iniziale.
In sintesi, mentre Microsoft sostiene che la gestione delle password di Edge è una scelta progettuale deliberata per le prestazioni, la pratica di archiviare tutte le password in testo normale in memoria rimane una notevole deviazione dagli standard di sicurezza più severi, invitando gli utenti a rimanere vigili sull’integrità del dispositivo.
