Parolalarınızı Microsoft Edge içine kaydediyorsanız bilmeniz gereken bir güvenlik riski mevcuttur. Yeni bir açıklamaya göre, Edge’i her açtığınızda tarayıcı, yalnızca oturum açtığınız sitenin parolasını değil, kaydedilmiş tüm parolaları okunabilir biçimde hemen belleğe yükler. Bu durum, kötü amaçlı yazılımın, ödün verilmiş bir yönetici hesabının veya başka bir saldırganın aygıtınıza veya kullanıcı oturumunuza erişim sağlaması durumunda Edge’e kaydedilen her hesabın kimlik doğrulama bilgilerinin açığa çıkabileceği anlamına gelir.
Bulgu, güvenlik araştırmacısı Tom Jøran Sønstebyseter Rønning(yeni pencere) tarafından paylaşıldı; araştırmacı, Microsoft’un bu davranışın “tasarım gereği” olduğu yanıtını verdiğini belirtiyor.
Microsoft’un kendi belgeleri, Edge’in diskteki kayıtlı parolaları AES (Gelişmiş Şifreleme Standardı) kullanarak şifrelediğini belirtiyor ve kullanıcı oturumunun veya aygıtın ödün verilmesi durumunda parolaların açığa çıkabileceğini kabul ediyor. Yeni açıklama buna itiraz etmiyor ancak farklı bir endişeyi dile getiriyor: Edge, tarayıcı başlatılır başlatılmaz tüm kayıtlı parolaları okunabilir belleğe yüklüyor ve bir saldırgan yeterli erişim sağladığında bellek kazımayı (memory scraping) çok daha değerli hale getiriyor.
Bu durum, Microsoft’un Edge çevresindeki parola yönetimini daraltmasından, Microsoft Authenticator’daki parola depolama alanı ve otomatik doldurma özelliklerini aşamalı olarak kaldırıp Microsoft’un parola özelliklerini kullanmaya devam etmek isteyen kullanıcıları kendi tarayıcısına yönlendirmesinden bir yıl sonra gerçekleşti.
Microsoft Edge kaydedilen parolaları nasıl işliyor
Parolaların kaydedildiğinde şifreleme ile korunması gerekir: Şifreleme, okunabilir bir parolayı (düz metin), okunamaz verilere (şifreli metin) dönüştürür. Bu parolayı otomatik doldurma için kullanmak üzere tarayıcının en sonunda bu parolanın şifresini çözerek okunabilir forma getirmesi gerekir. Buradaki önemli soru şudur: Bir kerede ne kadar parola verisi okunabilir hale geliyor?
Güvenlik araştırmacısı Tom Jøran Sønstebyseter Rønning, Microsoft Edge’in yalnızca ihtiyaç duyulduğunda belirli bir parolanın şifresini çözmek yerine, başlatılır başlatılmaz kaydedilen tüm parolaları düz metin olarak tarayıcının belleğine yüklediğini söylüyor. Buna, Edge parola yöneticisi içinde kaydedilen tüm parolalar, hatta mevcut göz atma oturumu sırasında ziyaret etmediğiniz veya otomatik doldurma kullanmadığınız sitelerin parolaları bile dahildir.
Bu durum, Edge’in yeniden kimlik doğrulama isteminin yanıltıcı hissettirmesine neden oluyor: Tarayıcı işlemi okunabilir biçimde mevcut her kayıtlı parolaya zaten sahip olmasına rağmen, arayüz bir parolayı açığa çıkarmadan önce kimliğinizi kanıtlamanızı istiyor.
Araştırmacı bu davranışı Google Chrome, Brave, Vivaldi, Opera ve Microsoft Edge dahil olmak üzere birden fazla Chromium tabanlı tarayıcıda test etti. Bu davranışı yalnızca Edge sergiledi.
Sadece Microsoft Edge’i açık bırakmak bile yeterli
SANS Internet Storm Center(yeni pencere) için yazan güvenlik araştırmacısı Rob VandenBrink, Microsoft Edge’i açık bırakarak ve çalışan tarayıcı oturumunun bellek dökümünü analiz ederek sorunu yeniden üretti. Bir Windows kullanıcısının, ek haklara sahip olmadan kaydedilmiş Edge kimlik doğrulama bilgilerinin dökümünü nasıl alabileceğini gösterdi; bu durum aynı zamanda o kullanıcı olarak çalışan kötü amaçlı yazılımın da bu kimlik doğrulama bilgilerine potansiyel olarak erişebileceği anlamına geliyor.
Ödün verilmiş tek bir oturum, tüm parolalarınızı açığa çıkarabilir
Bir saldırgan aygıta veya kullanıcı oturumuna yeterli erişim sağlarsa tarayıcının belleğini inceleyebilir. Yalnızca bir parolanın şifresi gerektiğinde çözülürse, saldırganın verileri yakalamak için daha küçük bir penceresi ve daha az verisi olur. Ancak kaydedilen her parola zaten bellek içindeyse ve şifreleme ile korunmuyorsa bellek kazıma çok daha değerli hale gelir.
Risk; terminal sunucuları, uzak masaüstleri, sanal masaüstü altyapısı veya birden fazla kullanıcının aynı anda oturum açtığı sistemler gibi paylaşılan ortamlarda özellikle ciddidir. Ödün verilmiş bir yönetici hesabı, Edge’in hâlâ çalışmakta olduğu bağlantısı kesilmiş oturumlar da dahil olmak üzere oturum açmış diğer kullanıcılardan kayıtlı kimlik doğrulama bilgilerini çıkarabilir.
Parolalarınızı Microsoft Edge içine kaydettiyseniz yapmanız gerekenler
Bu durum her Microsoft Edge kullanıcısının saldırıya uğradığı anlamına gelmez, ancak bireyler ve kuruluşlar, Edge’in kimlik doğrulama bilgilerini saklamak için doğru yer olup olmadığını yeniden değerlendirmelidir. Güvende kalmak için yapabilecekleriniz şunlardır:
- Microsoft’un tarayıcısına yeni parolalar kaydetmeyi durdurun ve Edge parola yöneticisini kapatın.
- Kayıtlı kimlik doğrulama bilgilerinizi güvenli bir parola yöneticisine taşıyın. Edge parolalarını Proton Pass içine kolayca içe aktarabilirsiniz.
- Geçişten sonra Edge içine kaydedilen parolaları silin.
- Başta e-posta, finansal hesaplar, yönetici araçları, parola sıfırlama gelen kutuları ve iş hesapları olmak üzere yüksek riskli parolaları değiştirin ve bunları benzersiz yapın. Parola yöneticimiz bu amaçla entegre bir araca sahiptir ancak parola oluşturucumuzu da kullanabilirsiniz.
- Bir parolanın ifşa olması durumunda hasarı azaltmaya yardımcı olan iki adımlı doğrulamayı (2FA) veya geçiş anahtarlarını mümkün olan her yerde kullanıma alın. Proton Pass, kaydedilen tüm hesaplarınız için geçiş anahtarlarını ve iki adımlı doğrulamayı destekler. Ayrıca Proton Hesabınıza erişimi güvenli bir şekilde yönetmek için kimlik doğrulama uygulamamızı da kullanabilirsiniz.
- BT ekipleri için: Kurumsal riski azaltmak üzere Edge parola ilkelerini gözden geçirin ve tarayıcı parola depolama alanını kullanımdan dışı bırakın. Merkezi olarak kontrol edilen bir işletme parola yöneticisi, çalışanların parolaları bireysel tarayıcılarda saklamasından daha üstündür.
Parolalarınız Microsoft Edge’den daha iyisini hak ediyor
Microsoft Edge ifşası; bireyler ve kuruluşlar için bariz güvenlik endişeleri yaratsa bile, bu tür bir maruziyeti beklenen bir davranış olarak değerlendiren bir şirketin sahibi olduğu parola yöneticisinde en hassas kimlik doğrulama bilgilerinizin saklanmaması gerektiğini hatırlatıyor.
Proton Pass ile parolalarınız, takma adlarınız, geçiş anahtarlarınız ve iki adımlı doğrulama kodlarınız uçtan uca şifreleme ile korunur ve bunları nerede ve nasıl kullanacağınızın kontrolü sizde kalır.
