Ako čuvate svoje lozinke u Microsoft Edge-u, evo nečega što bi trebalo da znate. Svaki put kada otvorite pregledač, on dešifruje sve vaše sačuvane lozinke i učitava ih u memoriju kao običan tekst (cleartext), gdje ostaju tokom čitave sesije. To znači da vaše lozinke stoje nezaštićene u memoriji vašeg uređaja čak i ako nikada ne posjetite sajtove kojima te lozinke pripadaju.
Bezbjednosni istraživač Tom Rening otkrio je ovakvo ponašanje i prijavio ga Microsoft-u. Međutim, kompanija je odgovorila rekavši da je takvo ponašanje ,,po dizajnu” (odnosno, da je namjerno tako napravljeno), prenosi B92.
Microsoft Edge je zasnovan na Chromiumu, istoj open-source osnovi koja pokreće Google Chrome. Ali Chrome tretira lozinke veoma drugačije. On dešifruje lozinku samo u trenutku kada je ona zaista potrebna, na primjer tokom automatskog popunjavanja (autofill).
Chrome takođe koristi funkciju pod nazivom Application-Bound Encryption, koja vezuje ključeve za dešifrovanje za autentifikovani Chrome proces, što napadačima značajno otežava izvlačenje lozinki iz memorije. Microsoft Edge ne radi ni jedno ni drugo.
Microsoft je naveo da ovakvo ponašanje postoji kako bi se korisnicima pomoglo da se brzo prijave, kao i da bi iskorišćavanje ovog propusta zahtijevalo da napadač već ima administratorski pristup uređaju.
KOMPROMITACIJA SISTEMA
Bezbjednosni stručnjaci se uglavnom slažu da pristup na nivou administratora zapravo predstavlja potpunu kompromitaciju sistema, bez obzira na to koji pregledač koristite. Ipak, stručnjaci za sajber bezbjednost upozoravaju da moderni infostealer malveri specifično ciljaju ,,prozor” između šifrovanog skladišta i izloženosti tokom rada, što lozinke u običnom tekstu unutar memorije čini stvarnim rizikom.
Preporučeno
Praktičan savjet bezbjednosnih stručnjaka je dosljedan, bez obzira na to koji pregledač koristite. Potpuno prestanite da čuvate lozinke u svom pregledaču i umjesto toga pređite na namenski menadžer lozinki (password manager).
Video