Nonostante quello che sembra un’evidente problema di sicurezza Microsoft Edge lascerebbe le password non criptate a insaputa degli utenti.
Edge salva le password in chiaro
Dopo il caso della funzione di controllo ortografico secondo una nuova segnalazione di un ricercatore di sicurezza, è emerso che Microsoft Edge salva le password in chiaro. Nello specifico sembrerebbe che le credenziali di accesso vengano decrittate da Edge a ogni avvio del browser e rimangano visibili nella memoria del processo. Quest’ultima potrebbe quindi essere “letta” facilmente da un eventuale malintenzionato che ha ottenuto i privilegi di amministratore.
Quando salvi le password in Edge, il browser decritta ogni credenziale all’avvio e le mantiene residenti nella memoria del processo. Questo accade anche se non visiti mai un sito che utilizza quelle credenziali. Nello stesso tempo, Edge ti richiede di ri-autenticarti prima di mostrare quelle stesse password nell’interfaccia utente del Gestore password — eppure il processo del browser le ha già tutte in chiaro.
Edge è l’unico browser basato su Chromium che ho testato che si comporta in questo modo. Al contrario, Chrome utilizza un design che rende molto più difficile per gli attaccanti estrarre le password salvate semplicemente leggendo la memoria del processo.
Decrittografa le credenziali solo quando necessario, invece di mantenere tutte le password in memoria in ogni momento. La crittografia vincolata all’app (ABE) aggiunge un altro livello legando la decrittografia a un processo Chrome autenticato, impedendo ad altri processi di riutilizzare le chiavi di crittografia di Chrome.
A causa di questi controlli, le password in chiaro appaiono solo brevemente durante il riempimento automatico o quando l’utente le visualizza, rendendo il recupero estensivo dalla memoria molto meno efficace. Il rischio di mantenere le password in chiaro nella memoria diventa evidente in ambienti condivisi.
Se un attaccante ottiene l’accesso amministrativo su un server terminal, può accedere alla memoria di tutti i processi utente connessi.
Il ricercatore che ha dimostrato la faccenda nel video in alto ha prontamente segnalato la sua scoperta a Microsoft che ha risposto essere un comportamento voluto, pensato proprio per funzionare in questo modo.
Ho segnalato questo a Microsoft, e la risposta ufficiale è stata che il comportamento è “by design”. Sono stati informati che avrei condiviso questo come una divulgazione responsabile in modo che utenti e organizzazioni possano prendere decisioni informate
Che ne pensate di questo problema di sicurezza di Edge? Ditecelo nei commenti.
Articolo di Windows Blog Italia
