Microsoft Edge shranjuje vaša gesla v nezaščitenem načinu?

Varnostni raziskovalec je v brskalniku Microsoft Edge odkril resno težavo pri upravljanju gesel. Program naj bi ob zagonu vsa shranjena gesla naložil v pomnilnik v obliki navadnega besedila, kar predstavlja tveganje v primeru vdora v napravo. Microsoft trdi, da je takšno delovanje namerno in služi boljši uporabniški izkušnji, medtem ko strokovnjaki opozarjajo na kršenje osnovnih varnostnih praks.

Upravitelji gesel so zasnovani z namenom, da uporabnikom olajšajo spletno življenje in hkrati zagotovijo varnost njihovih podatkov. Vendar pa je varnostni raziskovalec Tom Jøran Sønstebyseter Rønning razkril zaskrbljujoče podrobnosti o tem, kako s temi podatki ravna Microsoftov brskalnik Edge. Po njegovih ugotovitvah Microsoft Edge ob vsakem zagonu vsa shranjena gesla dešifrira in jih naloži v sistemski pomnilnik kot navadno besedilo, ne glede na to, ali uporabnik v tisti seji sploh obišče strani, ki zahtevajo prijavo.

Rønning opozarja, da ta ranljivost omogoča napadalcem z administrativnim dostopom do terminalskega strežnika vpogled v pomnilnik procesov vseh prijavljenih uporabnikov. Čeprav Microsoft Edge temelji na odprtokodnem projektu Chromium, ki ga vzdržuje Google, se drugi brskalniki na isti osnovi, kot je Google Chrome, ne obnašajo tako. Raziskovalec izpostavlja, da Chrome uporablja zasnovo, ki napadalcem bistveno oteži pridobivanje gesel zgolj z branjem procesnega pomnilnika, kar Edge postavlja v negotov položaj.

Preden je svoje ugotovitve javno objavil na omrežju X, se je Rønning obrnil neposredno na Microsoft. Odgovor, ki ga je prejel, je bil presenetljiv. Takšno delovanje naj bi bilo del načrtovane zasnove programske opreme. Tudi v izjavi za medije je tiskovni predstavnik Microsofta potrdil, da so varnost in zmogljivost podjetja prednostna naloga, vendar morajo uravnotežiti uporabnost in zaščito. Po njihovem mnenju dostop do podatkov v pomnilniku, kot je opisan, zahteva, da je naprava že predhodno kompromitirana. Poudarili so, da brskalniki dostopajo do gesel v pomnilniku, da bi uporabnikom omogočili hitro in varno prijavo, kar smatrajo za pričakovano funkcijo aplikacije.

Kljub tem pojasnilom je nemška tehnološka stran Heise Online uspešno replicirala težavo in opozorila, da uveljavljene varnostne prakse narekujejo dešifriranje gesel le v trenutku uporabe, takoj zatem pa bi morala biti izbrisana iz pomnilnika. Microsoft uporabnikom svetuje redno nameščanje posodobitev in uporabo protivirusne programske opreme, medtem ko strokovnjaki tistim, ki jih tovrstno tveganje skrbi, svetujejo razmislek o alternativnih upraviteljih gesel.