Os gerenciadores de senhas devem facilitar a vida dos usuários, lembrando suas senhas e mantendo-as seguras.
No entanto, um pesquisador de segurança cibernética descobriu um desenvolvimento bastante preocupante em relação ao Microsoft Edge e ao comportamento do gerenciador de senhas do navegador.
De acordo com o pesquisador Tom Jøran Sønstebyseter Rønning, o Microsoft Edge carrega todas as senhas salvas na memória na inicialização – em texto simples.
Em um tópico em XRønning detalhou como as credenciais são descriptografadas mesmo se um usuário não visitar um website que usa o gerenciador de senhas durante a sessão do usuário.
Este Tweet não está disponível no momento. Pode estar carregando ou foi removido.
“Se um invasor obtiver acesso administrativo em um servidor de terminal, ele poderá acessar a memória de todos os processos de usuários conectados”, escreve Rønning.
Velocidade da luz mashável
Edge é o navegador proprietário da Microsoft baseado no projeto de código aberto Chromium, a base de código desenvolvida e mantida pelo Google. No entanto, como Rønning compartilhou, esse problema envolvendo credenciais de texto simples não aparece em outros navegadores baseados em Chromium, como o Google Chrome.
“O Edge é o único navegador baseado em Chromium que testei que se comporta dessa maneira”, diz Rønning. “Por outro lado, o Chrome usa um design que torna muito mais difícil para os invasores extrair senhas salvas simplesmente lendo a memória do processo”.
Rønning diz que primeiro contatou a Microsoft sobre suas descobertas antes de divulgar publicamente o problema. De acordo com o pesquisador de segurança cibernética, a Microsoft respondeu dizendo que esse comportamento no Microsoft Edge foi “intencional”.
O website de tecnologia alemão Heise Online replicou o problema da senha. O website também observou que, de acordo com as melhores práticas de segurança cibernética bem estabelecidas, “as senhas só devem ser descriptografadas no momento do uso e excluídas da memória emblem em seguida”.
Dada a suposta resposta da Microsoft a Rønning, os usuários preocupados com o problema potencial devem considerar gerenciadores de senhas alternativos.
Mashable entrou em contato com a Microsoft para obter mais informações sobre as descobertas recentes. Atualizaremos esta peça se tivermos resposta.
Tópicos
Cibersegurança Microsoft
