Svi vaši podaci su "u lokvi": Otkriven opasan propust, Microsoft tvrdi – "Tako smo hteli"

Ako čuvate svoje lozinke u Microsoft Edge-u, evo nečega što bi trebalo da znate. Svaki put kada otvorite pregledač, on dešifruje sve vaše sačuvane lozinke i učitava ih u memoriju kao običan tekst (cleartext), gde ostaju tokom čitave sesije. To znači da vaše lozinke stoje nezaštićene u memoriji vašeg uređaja čak i ako nikada ne posetite sajtove kojima te lozinke pripadaju.

Bezbednosni istraživač Tom Rening otkrio je ovakvo ponašanje i prijavio ga Microsoftu. Međutim, kompanija je odgovorila rekavši da je takvo ponašanje "po dizajnu" (odnosno, da je namerno tako napravljeno).

Microsoft Edge je zasnovan na Chromiumu, istoj open-source osnovi koja pokreće Google Chrome. Ali Chrome tretira lozinke veoma drugačije. On dešifruje lozinku samo u trenutku kada je ona zaista potrebna, na primer tokom automatskog popunjavanja (autofill).

Chrome takođe koristi funkciju pod nazivom Application-Bound Encryption, koja vezuje ključeve za dešifrovanje za autentifikovani Chrome proces, što napadačima značajno otežava izvlačenje lozinki iz memorije. Microsoft Edge ne radi ni jedno ni drugo.

Microsoft je naveo da ovakvo ponašanje postoji kako bi se korisnicima pomoglo da se brzo prijave, kao i da bi iskorišćavanje ovog propusta zahtevalo da napadač već ima administratorski pristup uređaju.

Bezbednosni stručnjaci se uglavnom slažu da pristup na nivou administratora zapravo predstavlja potpunu kompromitaciju sistema, bez obzira na to koji pregledač koristite. Ipak, stručnjaci za sajber bezbednost upozoravaju da moderni infostealer malveri specifično ciljaju "prozor" između šifrovanog skladišta i izloženosti tokom rada, što lozinke u običnom tekstu unutar memorije čini stvarnim rizikom.

Praktičan savet bezbednosnih stručnjaka je dosledan, bez obzira na to koji pregledač koristite. Potpuno prestanite da čuvate lozinke u svom pregledaču i umesto toga pređite na namenski menadžer lozinki (password manager).