Microsoft Edge зберігає паролі у вигляді пам’яті: безпека принесена в жертву «архітектурному рішенню»
Дослідник у галузі кібербезпеки виявив серйозну вразливість у браузері Microsoft Edge. Виявилося, що при запуску програма завантажує всі збережені паролі в оперативну пам’ять у відкритому вигляді (plain text). Це відбувається незалежно від того, чи планує користувач використовувати менеджер паролів у поточній сесії. Така особливість може призвести до компрометації облікових даних, якщо зловмисник отримає адміністративний доступ до пристрою.
Суть уразливості: паролі у пам’яті
Дослідник Том Йоран Сонстебсетер Роннінг докладно описав проблему у соціальній мережі X (раніше Twitter). Він виявив, що Microsoft Edge розшифровує кожен збережений пароль та утримує його в оперативній пам’яті комп’ютера відразу після запуску браузера.
Ця поведінка різко контрастує з іншими браузерами на основі двигуна Chromium, такими як Google Chrome. Роннінг зазначив, що Chrome використовує інший архітектурний підхід, який значно ускладнює зловмисникам завдання вилучення збережених паролів шляхом простого читання процесів.
“Edge – єдиний браузер на базі Chromium, який я тестував і який веде себе подібним чином”, – заявив Роннінг.
Ризик особливо великий у загальних чи керованих середовищах. Як пояснив Роннінг, якщо зловмисник отримує адміністративний доступ на термінальному сервері, він може отримати доступ до пам’яті всіх процесів, запущених від імені користувачів, ефективно збираючи паролі, минаючи необхідність обходу ключів шифрування, що зберігаються на диску.
Відповідь Microsoft: «Це зроблено навмисно»
Отримавши інформацію про ці знахідки, Microsoft захистила архітектуру свого браузера. Представник компанії заявив у виданні Mashable, що така поведінка є очікуваною функцією, покликаною забезпечити баланс між продуктивністю, зручністю використання та безпекою.
“Безпека та захист є основою Microsoft Edge”, – сказав представник. “Доступ до даних браузера, описаний у повідомленому сценарії, можливий тільки в тому випадку, якщо пристрій вже був скомпрометований… Браузери звертаються до даних паролів у пам’яті, щоб допомогти користувачам швидко та безпечно входити до системи”.
Microsoft підкреслила, що такий архітектурний вибір полегшує користувачам швидке та безпечне виконання вхід до системи. Однак компанія визнала, що ця зручність пов’язана з компромісами, і рекомендувала користувачам підтримувати оновлення безпеки та антивірусне програмне забезпечення у актуальному стані для зниження ризиків.
Галузеві стандарти проти реалізації
Це відкриття викликало дискусію про найкращі практики кібербезпеки. Німецьке технологічне видання Heise Online успішно відтворило проблему і вказало, що встановлені протоколи безпеки зазвичай наказують розшифровувати паролі тільки в момент їх використання і негайно видаляти їх з пам’яті після цього.
Зберігаючи всі паролі в розшифрованому вигляді у пам’яті протягом усієї сесії, Edge відхиляється від цього принципу. Хоча Microsoft стверджує, що це покращує досвід користувача, гарантуючи готовність паролів до негайного використання, експерти з безпеки вважають, що це необґрунтовано збільшує поверхню атаки у разі компрометації пристрою.
Що це означає для користувачів
Цей інцидент порушує важливі питання про те, як технологічні гіганти балансують між зручністю та безпекою. Хоча наявність паролів під рукою зручно, їх зберігання у відкритому вигляді в пам’яті створює єдину точку відмови у разі злому операційної системи або браузера.
Для користувачів, стурбованих цією конкретною вразливістю, експерти пропонують два основні шляхи дій:
– Використовуйте спеціалізований менеджер паролів: Менеджери паролів сторонніх розробників часто пропонують детальніший контроль над тим, як і коли облікові дані розшифровуються та зберігаються в пам’яті.
– Забезпечте надійний захист пристрою: Оскільки для експлуатації вразливості потрібен адміністративний доступ, критично важливо підтримувати операційну систему та антивірусне програмне забезпечення в актуальному стані, щоб запобігти початковій компрометації.
Підсумовуючи, можна сказати, що, хоча Microsoft стверджує, що обробка паролів в Edge є усвідомленим архітектурним рішенням заради продуктивності, практика зберігання всіх паролів у відкритому вигляді в пам’яті залишається помітним відхиленням від суворіших стандартів безпеки, спонукаючи користувачів зберігати пильність щодо цілісності своїх пристроїв.
