Jeśli zapisujesz hasła w przeglądarce Microsoft Edge, istnieje ryzyko bezpieczeństwa, o którym powinieneś wiedzieć. Zgodnie z nowym ujawnieniem, za każdym razem, gdy otwierasz Edge, przeglądarka natychmiast ładuje wszystkie zapisane hasła do pamięci w czytelnej formie — a nie tylko hasło do strony internetowej, na którą się logujesz. Oznacza to, że dane logowania do każdego konta zapisanego w Edge mogą zostać narażone, jeśli złośliwe oprogramowanie, zagrożone konto administratora lub inny napastnik uzyska dostęp do Twojego urządzenia lub sesji użytkownika.

Odkrycie to zostało ujawnione przez badacza bezpieczeństwa o nazwisku Tom Jøran Sønstebyseter Rønning(nowe okno), który twierdzi, że Microsoft odpowiedział, iż takie zachowanie jest „zamierzone”.

Własna dokumentacja firmy Microsoft podaje, że Edge szyfruje zapisane hasła na dysku za pomocą standardu AES (Advanced Encryption Standard) i przyznaje, że hasła mogą zostać ujawnione, jeśli sesja użytkownika lub urządzenie zostaną zagrożone. Nowe ujawnienie nie kwestionuje tego faktu, ale podnosi inną obawę: Edge ładuje wszystkie zapisane hasła do czytelnej pamięci zaraz po uruchomieniu przeglądarki, co sprawia, że scraping pamięci staje się znacznie bardziej wartościowy, jeśli napastnik uzyska wystarczający dostęp.

Dzieje się to rok po tym, jak Microsoft ograniczył zarządzanie hasłami do Edge, wycofując przechowywanie haseł i autouzupełnianie w Microsoft Authenticator, zachęcając użytkowników chcących nadal korzystać z funkcji haseł Microsoftu do przejścia na własną przeglądarkę.

Jak Microsoft Edge obsługuje zapisane hasła

Hasła powinny być chronione przez szyfrowanie podczas ich przechowywania: szyfrowanie zamienia czytelne hasło (zwykły tekst) w nieczytelne dane (szyfrogram). Aby użyć tego hasła do autouzupełniania, przeglądarka musi je ostatecznie odszyfrować z powrotem do czytelnej formy. Ważne pytanie brzmi: jak wiele danych haseł staje się czytelnych naraz?

Badacz bezpieczeństwa Tom Jøran Sønstebyseter Rønning twierdzi, że Microsoft Edge ładuje wszystkie zapisane hasła do pamięci przeglądarki jako zwykły tekst natychmiast po jej uruchomieniu, zamiast odszyfrowywać konkretne hasło tylko wtedy, gdy jest potrzebne. Obejmuje to wszystkie hasła zapisane w menadżerze haseł Edge, nawet te do stron internetowych, których nie odwiedzasz ani nie uzupełniasz automatycznie podczas bieżącej sesji przeglądania.

Terminal pokazujący, jak Microsoft Edge przechowuje zapisane hasła jako zwykły tekst
Źródło: @L1v1ng0ffTh3L4N w serwisie X

To sprawia, że monit o ponowne uwierzytelnienie w Edge wydaje się mylący: interfejs prosi Cię o potwierdzenie tożsamości przed ujawnieniem hasła, mimo że proces przeglądarki ma już każde zapisane hasło dostępne w czytelnej formie.

Badacz przetestował to zachowanie w wielu przeglądarkach opartych na Chromium, w tym Google Chrome, Brave, Vivaldi, Opera i Microsoft Edge. Tylko Edge wykazał takie działanie.

Wystarczy po prostu zostawić otwartą przeglądarkę Microsoft Edge

Badacz bezpieczeństwa Rob VandenBrink, pisząc dla SANS Internet Storm Center(nowe okno), odtworzył ten problem, zostawiając otwartą przeglądarkę Microsoft Edge i analizując zrzut pamięci działającej sesji przeglądarki. Wykazał on, jak zalogowany użytkownik systemu Windows może zrzucić swoje zapisane dane logowania z Edge bez dodatkowych uprawnień, co oznacza również, że złośliwe oprogramowanie działające na prawach tego użytkownika mogłoby potencjalnie uzyskać dostęp do tych danych logowania.

Dwa panele obok siebie pokazujące, jak łatwo utworzyć plik zrzutu pamięci dla Microsoft Edge za pomocą Menedżera zadań Windows i jak łatwo wyświetlić wszystkie zapisane hasła w przechwyconym pliku DMP
Źródło: Rob VandenBrink w SANS Internet Storm Center

Jedna zagrożona sesja może ujawnić wszystkie Twoje hasła

Jeśli napastnik uzyska wystarczający dostęp do urządzenia lub sesji użytkownika, może być w stanie sprawdzić pamięć przeglądarki. Gdyby tylko jedno hasło było odszyfrowywane wtedy, gdy jest potrzebne, napastnik miałby mniejsze okno czasowe i mniej danych do przechwycenia. Jeśli jednak każde zapisane hasło znajduje się już w pamięci niechronione szyfrowaniem, scraping pamięci staje się znacznie bardziej wartościowy.

Ryzyko jest szczególnie poważne w środowiskach współdzielonych, takich jak serwery terminali, pulpity zdalne, infrastruktura pulpitów wirtualnych lub systemy, w których wielu użytkowników jest zalogowanych w tym samym czasie. Zagrożone konto administratora mogłoby wyodrębnić zapisane dane logowania innych zalogowanych użytkowników, w tym z rozłączonych sesji, w których Edge nadal działał.

Co zrobić, jeśli masz zapisane hasła w Microsoft Edge

Nie oznacza to, że każdy użytkownik Microsoft Edge został zhakowany, ale osoby prywatne i organizacje powinny ponownie rozważyć, czy Edge jest odpowiednim miejscem do przechowywania danych logowania. Oto co możesz zrobić, aby zachować bezpieczeństwo:

  • Przestań zapisywać nowe hasła w przeglądarce Microsoftu i wyłącz menadżer haseł w Edge.
  • Przenieś swoje zapisane dane logowania do bezpiecznego menadżera haseł. Możesz łatwo zaimportować hasła z Edge do Proton Pass.
  • Usuń hasła zapisane w Edge po zakończeniu migracji.
  • Zmień hasła wysokiego ryzyka na unikalne, zaczynając od poczty e-mail, kont finansowych, narzędzi administratora, skrzynek odbiorczych do resetowania haseł oraz kont służbowych. Nasz menadżer haseł posiada zintegrowane narzędzie do tego celu, ale możesz też użyć naszego generatora haseł.
  • Włącz uwierzytelnianie dwustopniowe (2FA) lub klucze dostępu tam, gdzie to możliwe, co pomaga ograniczyć szkody w przypadku ujawnienia hasła. Proton Pass wspiera klucze dostępu i 2FA dla wszystkich Twoich zapisanych kont. Możesz również użyć naszej aplikacji uwierzytelniającej, aby bezpiecznie zarządzać dostępem do swojego konta Proton.
  • Dla zespołów IT: Przejrzyj zasady dotyczące haseł w Edge i wyłącz przechowywanie haseł w przeglądarce, aby zmniejszyć ryzyko organizacyjne. Centralnie sterowany biznesowy menadżer haseł jest lepszym rozwiązaniem niż przechowywanie haseł przez pracowników w poszczególnych przeglądarkach.

Twoje hasła zasługują na coś lepszego niż Microsoft Edge

Ujawnienie informacji o Microsoft Edge przypomina, że Twoje najbardziej poufne dane logowania nie powinny być przechowywane w menadżerze haseł należącym do firmy, która traktuje tego rodzaju incydenty jako oczekiwane zachowanie, mimo że budzi to oczywiste obawy o bezpieczeństwo osób prywatnych i organizacji.

Dzięki Proton Pass Twoje hasła, aliasy, klucze dostępu i kody 2FA są chronione przez szyfrowanie end-to-end, a Ty zachowujesz kontrolę nad tym, gdzie i jak ich używasz.

Utwórz darmowe konto Proton Pass