Os gerenciadores de senhas devem facilitar a vida dos usuários, lembrando suas senhas e mantendo-as seguras.
No entanto, um pesquisador de segurança cibernética descobriu um desenvolvimento bastante preocupante em relação ao Microsoft Edge e ao comportamento do gerenciador de senhas do navegador.
De acordo com o pesquisador Tom Jøran Sønstebyseter Rønning, o Microsoft Edge carrega todas as senhas salvas na memória na inicialização – em texto simples.
Em um tópico no X, Rønning detalhou como as credenciais são descriptografadas mesmo se um usuário não visitar um site que usa o gerenciador de senhas durante a sessão do usuário.
Este Tweet não está disponível no momento. Pode estar carregando ou foi removido.
“Se um invasor obtiver acesso administrativo a um servidor de terminal, ele poderá acessar a memória de todos os processos de usuários conectados”, escreve Rønning.
Velocidade da luz mashável
Edge é o navegador proprietário da Microsoft baseado no projeto de código aberto Chromium, a base de código desenvolvida e mantida pelo Google. No entanto, como Rønning compartilhou, esse problema envolvendo credenciais de texto simples não aparece em outros navegadores baseados em Chromium, como o Google Chrome.
“O Edge é o único navegador baseado em Chromium que testei que se comporta dessa maneira”, diz Rønning. “Por outro lado, o Chrome usa um design que torna muito mais difícil para os invasores extrair senhas salvas simplesmente lendo a memória do processo”.
Rønning diz que primeiro contatou a Microsoft sobre suas descobertas antes de divulgar publicamente o problema. De acordo com o pesquisador de segurança cibernética, a Microsoft respondeu dizendo que esse comportamento no Microsoft Edge foi “intencional”.
O site de tecnologia alemão Heise Online replicou o problema da senha. O site também observou que, de acordo com as melhores práticas de segurança cibernética bem estabelecidas, “as senhas só devem ser descriptografadas no momento do uso e excluídas da memória logo em seguida”.
Dada a suposta resposta da Microsoft a Rønning, os usuários preocupados com o problema potencial deveriam considerar gerenciadores de senhas alternativos.
Mashable entrou em contato com a Microsoft para obter mais informações sobre as descobertas recentes. Atualizaremos esta peça se tivermos resposta.
Tópicos
Cibersegurança da Microsoft
