Badacz cyberbezpieczeństwa zidentyfikował poważną lukę w przeglądarce Microsoft Edge. Okazało się, że po uruchomieniu program ładuje wszystkie zapisane hasła do pamięci RAM w formie otwartej (zwykły tekst). Dzieje się tak niezależnie od tego, czy użytkownik planuje w bieżącej sesji korzystać z menedżera haseł. Ta funkcja może prowadzić do naruszenia poświadczeń, jeśli osoba atakująca uzyska dostęp administracyjny do urządzenia.
Istota luki: hasła w postaci zwykłego tekstu w pamięci
Badacz Tom Göran Sonstebsäter Rönning szczegółowo opisał problem w sieci społecznościowej X (dawniej Twitter). Odkrył, że Microsoft Edge odszyfrowuje każde zapisane hasło i przechowuje je w pamięci RAM komputera natychmiast po uruchomieniu przeglądarki.
To zachowanie wyraźnie kontrastuje z innymi przeglądarkami opartymi na Chromium, takimi jak Google Chrome. Ronning zauważył, że Chrome stosuje inne podejście architektoniczne, które znacznie utrudnia atakującym wyodrębnienie przechowywanych haseł poprzez proste odczytanie pamięci procesu.
„Edge to jedyna testowana przeze mnie przeglądarka oparta na Chromium, która zachowuje się w ten sposób” – powiedział Rönning.
Ryzyko jest szczególnie wysokie w środowiskach współdzielonych lub zarządzanych. Jak wyjaśnił Rönning, jeśli atakujący uzyska dostęp administracyjny do serwera terminali, może uzyskać dostęp do pamięci wszystkich procesów uruchomionych w imieniu użytkowników, skutecznie zbierając hasła bez konieczności omijania kluczy szyfrujących przechowywanych na dysku.
Odpowiedź firmy Microsoft: „To działanie zamierzone”
Po otrzymaniu informacji o tych ustaleniach Microsoft bronił architektury swojej przeglądarki. Rzecznik firmy powiedział Mashable, że to zachowanie jest oczekiwaną funkcją zaprojektowaną w celu zapewnienia równowagi między wydajnością, użytecznością i bezpieczeństwem.
„Bezpieczeństwo i ochrona są podstawą Microsoft Edge” – powiedział rzecznik. „Dostęp do danych przeglądarki opisany w zgłoszonym scenariuszu jest możliwy tylko wtedy, gdy urządzenie zostało już przejęte… Przeglądarki uzyskują dostęp do danych haseł przechowywanych w pamięci, aby pomóc użytkownikom zalogować się szybko i bezpiecznie.”
Microsoft podkreślił, że taki wybór architektury ułatwia użytkownikom szybkie i bezpieczne logowanie do systemów. Firma przyznała jednak, że wygoda ta wiąże się z kompromisami i zaleciła użytkownikom aktualizowanie aktualizacji zabezpieczeń i oprogramowania antywirusowego w celu zmniejszenia ryzyka.
Standardy branżowe a wdrożenie
Odkrycie to wywołało debatę na temat najlepszych praktyk w zakresie cyberbezpieczeństwa. Niemiecka publikacja technologiczna Heise Online z powodzeniem odtworzyła problem i wskazała, że ustalone protokoły bezpieczeństwa zazwyczaj wymagają odszyfrowania haseł tylko w momencie użycia, a następnie natychmiastowego usunięcia z pamięci.
Przechowując wszystkie odszyfrowane hasła w pamięci przez całą sesję, Edge odchodzi od tej zasady. Choć Microsoft twierdzi, że poprawia to wygodę użytkownika, zapewniając gotowość haseł do natychmiastowego użycia, eksperci ds. bezpieczeństwa twierdzą, że w przypadku naruszenia bezpieczeństwa urządzenia w nieuzasadniony sposób zwiększa to powierzchnię ataku.
Co to oznacza dla użytkowników
Incydent rodzi ważne pytania o to, jak giganci technologiczni godzą wygodę i bezpieczeństwo. Chociaż wygodne jest posiadanie haseł pod ręką, przechowywanie ich w pamięci w formie zwykłego tekstu stwarza pojedynczy punkt awarii w przypadku naruszenia bezpieczeństwa systemu operacyjnego lub przeglądarki.
Użytkownikom zaniepokojonym tą konkretną luką eksperci sugerują dwa główne kierunki działania:
– Użyj dedykowanego menedżera haseł: Menedżery haseł innych firm często oferują bardziej szczegółową kontrolę nad tym, jak i kiedy dane uwierzytelniające są odszyfrowywane i przechowywane w pamięci.
– Zapewnij bezpieczeństwo swojemu urządzeniu: Ponieważ wykorzystanie luki wymaga dostępu administracyjnego, niezwykle ważne jest regularne aktualizowanie systemu operacyjnego i oprogramowania antywirusowego, aby zapobiec początkowemu naruszeniu bezpieczeństwa.
Podsumowując, choć Microsoft twierdzi, że obsługa haseł w Edge jest przemyślaną decyzją architektoniczną mającą na celu zapewnienie wydajności, praktyka przechowywania wszystkich haseł w postaci zwykłego tekstu w pamięci pozostaje godnym uwagi odejściem od bardziej rygorystycznych standardów bezpieczeństwa, zachęcając użytkowników do zachowania czujności w kwestii integralności swoich urządzeń.
