Microsoft Edge хранит пароли в открытом виде в памяти: Microsoft считает это нормой

Извечный спор: безопасность против простоты.

Исследователь кибербезопасности Том Йоран Сёнстебюсетер Рённинг обнаружил, что браузер Microsoft Edge загружает все сохраненные пароли в оперативную память компьютера в незашифрованном виде, даже когда они не используются. Он опубликовал прототип на GitHub, демонстрирующий этот факт. Возникает вопрос: может ли кто угодно получить к ним доступ? Почти, но все же требуются права администратора. Microsoft подтвердила это поведение, заявив, что оно является преднамеренным.

Если вы администратор, вы можете видеть пароли в открытом виде

Рённинг пояснил в социальных сетях, что браузер «Microsoft Edge загружает все ваши сохраненные пароли в память в открытом виде — даже когда вы их не используете».

Он предложил прототип на GitHub, позволяющий проверить это на своей машине. Важный момент, который существенно ограничивает сферу применения того, что исследователь представляет как уязвимость: требуются «права администратора (чтобы иметь возможность читать память процессов Edge других пользователей)». Исследователь подтвердил в своем обсуждении на X (ранее Twitter), что «не смог заставить его работать без привилегий администратора».

Мы успешно протестировали программу EdgeSavedPasswordsDumper исследователя на Windows 11 с Edge 147 (обе системы были обновлены) — при условии запуска терминала с правами администратора. В этом случае программа действительно возвращает полный набор логинов и паролей, сохраненных в Edge, прямо в терминал. Без прав администратора тот же терминал отвечает: «[x] Not running elevated».

Эти же пароли видны в edge://settings/autofill/passwords, но с той разницей, что для их просмотра в браузере необходимо ввести пароль Windows «для выполнения этой операции», как указано в открывающемся окне подтверждения.

Техника, используемая исследователем, позволяет обойти этот шаг при условии, что, как уже упоминалось, у вас уже есть права администратора. «Забавно» наблюдать, как Edge запрашивает подтверждение, хотя доступ уже свободен, как доказывает программа исследователя.

«Edge — единственный протестированный браузер на базе Chromium, который так себя ведет»

По словам Тома Йорана Сёнстебюсетера Рённинга, «Edge — единственный протестированный браузер на базе Chromium, который так себя ведет. В отличие от него, Chrome использует такую архитектуру, которая значительно затрудняет для злоумышленников извлечение сохраненных паролей путем простого чтения памяти процессов. Браузер расшифровывает учетные данные только тогда, когда это необходимо, вместо того чтобы постоянно хранить все пароли в памяти».

Chrome, по словам исследователя, имеет и другие защиты, благодаря которым «пароли в открытом виде видны лишь краткое время при автозаполнении или когда пользователь их просматривает, что делает массовое извлечение данных из памяти гораздо менее эффективным».

Том Йоран Сёнстебюсетер Рённинг считает, что риск значителен в общих средах: «Если злоумышленник получает административный доступ к серверу, он может получить доступ к памяти всех подключенных пользователей (или даже отключенных пользователей) с запущенным Edge». Мы всегда возвращаемся к одному и тому же важному предварительному условию: быть администратором.

Microsoft подтверждает: это преднамеренно и даже «by design»

Исследователь связался с Microsoft, которая ответила, что это «преднамеренное» поведение их браузера и никаких исправлений опубликовано не будет.

Представитель компании подтвердил Cybernews, более подробно изложив свою точку зрения: «Выбор дизайна в этой области направлен на поиск баланса между производительностью, простотой использования и безопасностью, и мы продолжаем оценивать их в условиях меняющихся угроз. Браузеры обращаются к данным паролей в памяти, чтобы пользователи могли быстро и безопасно входить в систему; это нормальная функция приложения».

«Доступ к данным браузера, как описано в указанном сценарии, потребует, чтобы устройство уже было скомпрометировано», — добавляет Microsoft. Действительно, нужно уже быть администратором. Как показывает Chrome с более ограниченной поверхностью атаки, все же возможно снизить риски.

Как отметил один пользователь X, эта история напоминает другую, произошедшую в 2022 году с Chromium (основа Chrome, Edge и других браузеров). Тогда также выяснилось, что он сохранял пароли и другую информацию в открытом виде в памяти компьютера.

В целом, сообщество кибербезопасности рекомендует использовать специализированные менеджеры паролей вместо тех, что встроены в браузеры, в частности потому, что безопасность является их основной целью. Это также аргумент, выдвигаемый разработчиками менеджеров паролей, которые, очевидно, выступают в защиту своего продукта.