Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- O Microsoft Edge armazena suas senhas em texto simples na RAM.
- Esse comportamento ocorre se você usar o Edge como gerenciador de senhas.
- A Microsoft diz que esse comportamento é um recurso, não um bug.
Você usa o Microsoft Edge para salvar e gerenciar as senhas do seu website? Nesse caso, uma nova descoberta levanta questões sobre a segurança de suas senhas armazenadas.
Um pesquisador de segurança descobriu que o Edge armazena suas senhas em texto simples na memória quando você usa o navegador para gerenciá-las. Em um postagem nas redes sociaiso pesquisador Tom Jøran Sønstebyseter Rønning explicou como funciona o processo e postou um vídeo mostrando-o em ação.
Além disso: Trojan abusa do aplicativo Microsoft Telephone Hyperlink para roubar suas senhas
“Quando você salva senhas no Edge, o navegador descriptografa todas as credenciais na inicialização e as mantém residentes na memória do processo”, disse Rønning. “Isso acontece mesmo que você nunca visite um website que use essas credenciais. Ao mesmo tempo, o Edge exige que você se autentique novamente antes de mostrar as mesmas senhas na interface do Password Supervisor – mas o processo do navegador já as possui em texto simples.”
A Microsoft chama o comportamento de um recurso esperado
No GitHub, Rønning postei o código ele criou para detectar esse comportamento. Chamado de EdgeSavedPasswordsDumper, o código demonstra que quaisquer credenciais armazenadas por alguém que usa o Microsoft Password Supervisor no Edge são salvas em texto simples na memória do processo do Edge.
Em comunicado compartilhado com a ZDNET, a Microsoft reconheceu esse comportamento, mas disse que é um recurso esperado e que representaria um risco apenas se o seu dispositivo já estivesse comprometido.
“O acesso aos dados do navegador conforme descrito no cenário relatado exigiria que o dispositivo já estivesse comprometido”, disse um porta-voz da Microsoft no comunicado. “As opções de design nesta área envolvem equilibrar desempenho, usabilidade e segurança, e continuamos a revisá-las contra ameaças em evolução. Os navegadores acessam dados de senha na memória para ajudar os usuários a fazer login de forma rápida e segura – este é um recurso esperado do aplicativo. Recomendamos que os usuários instalem as atualizações de segurança e software program antivírus mais recentes para ajudar na proteção contra ameaças de segurança.”
Além disso: é possível trocar de gerenciador de senhas sem perder um único login – e eu sou a prova
A afirmação da Microsoft de que seu dispositivo já precisaria ser comprometido parece verdadeira, pelo menos com base nos testes de Rønning. Como mostrado em um vídeoo processo se baseia no fato de um invasor já ter comprometido uma conta de usuário com direitos administrativos, o que lhe daria acesso à memória de todos os processos de usuário conectados, com as senhas em texto simples visíveis.
Rønning disse que o Edge é o único navegador baseado em Chromium que ele testou que funciona dessa maneira. Por outro lado, o Google Chrome descriptografa as credenciais apenas quando necessário, em vez de manter todas as senhas na memória o tempo todo. O design do Chrome torna muito mais difícil para um invasor extrair senhas salvas simplesmente lendo a memória do dispositivo, acrescentou Rønning. Até agora, essa fraqueza parece ser específica do Microsoft Password Supervisor usado no Edge.
“Apesar do Edge ser baseado em Chromium, nenhum dos outros navegadores baseados em Chromium que testei usa o Microsoft Password Supervisor para armazenar senhas e dados de preenchimento automático”, disse Rønning. “E duvido que seja baseado no Chromium?”
Além disso: essas 5 configurações críticas do Home windows Defender estão desativadas por padrão – ative-as o mais rápido possível
Se o Google puder proteger melhor seu navegador contra a exposição de senhas em texto simples na memória, a Microsoft não deveria ser capaz de fazer o mesmo? Em resposta à postagem de Rønning, outra pessoa disse que as credenciais poderiam ser armazenadas na memória em formato criptografado. Eles seriam descriptografados apenas quando necessário para fazer login em um website e, em seguida, apagados imediatamente.
“De uma perspectiva defensiva, armazenar senhas em memória de texto simples viola os princípios de privilégio mínimo, confiança zero e design de aplicativo seguro”, disse Morey Haber, consultor-chefe de segurança do provedor de segurança BeyondTrust, à ZDNET. “É simplesmente uma má ideia. Se uma senha pode ser lida na memória por um processo humano ou malicioso, ela não é mais um segredo protegido. Ela já está comprometida, em princípio, através do armazenamento de texto não criptografado em um meio já inseguro.”
Armadilhas de usar o gerenciador de senhas integrado do seu navegador
A menos que a Microsoft decida mudar a forma como seu gerenciador de senhas funciona, o que você pode fazer se usar o Edge como navegador padrão para gerenciar suas senhas?
Meu conselho seria mudar para um gerenciador de senhas de terceiros dedicado. Sim, usar o gerenciador de senhas integrado do seu navegador parece rápido e conveniente. Mas existem algumas armadilhas além desta última.
Se alguém obtiver acesso ao seu PC ou dispositivo móvel por meio de sua senha, PIN ou código de acesso, poderá iniciar seu navegador e usar o mesmo método para visualizar suas senhas. Eu tentei isso em um PC com Home windows usando apenas meu PIN e consegui acessar senhas em texto simples no Edge. Um bom gerenciador de senhas de terceiros requer autenticação mais forte para visualizar suas senhas.
Além disso: Os melhores gerenciadores de senhas: testados por especialistas
Um gerenciador de senhas integrado funciona apenas com esse navegador específico. Você pode usar o Edge como padrão, mas às vezes pode recorrer ao Chrome ou Firefox. Nesse caso, suas senhas armazenadas não estariam disponíveis. Eu uso Firefox, Chrome e Edge tanto pessoal quanto profissionalmente, então minhas senhas precisam estar acessíveis em todos os três.
Esperançosamente, a Microsoft verá isso como uma falha de segurança e adotará o mesmo método usado no Chrome e em outros navegadores para descriptografar senhas apenas quando necessário. Até então, desaconselho o uso do Edge como gerenciador de senhas.
