Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Microsoft Edge archivia le tue password in testo normale nella RAM.
- Questo comportamento si verifica se utilizzi Edge come gestore delle password.
- Microsoft afferma che questo comportamento è una funzionalità, non un bug.
Usi Microsoft Edge per salvare e gestire le password del tuo sito net? Se è così, una nuova scoperta solleva dubbi sulla sicurezza e la protezione delle password memorizzate.
Un ricercatore di sicurezza ha scoperto che Edge memorizza le tue password in chiaro in memoria quando utilizzi il browser per gestirle. Nell’a post sui social mediail ricercatore Tom Jøran Sønstebyseter Rønning ha spiegato come funziona il processo e ha pubblicato un video che lo mostra in azione.
Inoltre: il trojan abusa dell’app Microsoft Cellphone Hyperlink per rubare le tue password
“Quando salvi le password in Edge, il browser decodifica tutte le credenziali all’avvio e le mantiene residenti nella memoria del processo”, ha affermato Rønning. “Ciò accade anche se non visiti mai un sito che utilizza tali credenziali. Allo stesso tempo, Edge richiede di autenticarti nuovamente prima di mostrare quelle stesse password nell’interfaccia utente di Password Supervisor, ma il processo del browser le ha già tutte in testo normale.”
Microsoft definisce il comportamento una funzionalità prevista
Su GitHub, Rønning postato il codice ha creato per rilevare questo comportamento. Denominato EdgeSavedPasswordsDumper, il codice dimostra che tutte le credenziali archiviate da qualcuno che utilizza Microsoft Password Supervisor in Edge vengono salvate in testo normale nella memoria del processo Edge.
In una dichiarazione condivisa con ZDNET, Microsoft ha riconosciuto questo comportamento ma ha affermato che si tratta di una funzionalità prevista e che rappresenterebbe un rischio solo se il dispositivo fosse già compromesso.
“L’accesso ai dati del browser come descritto nello state of affairs segnalato richiederebbe che il dispositivo sia già compromesso”, ha affermato un portavoce di Microsoft nella nota. “Le scelte progettuali in quest’space implicano il bilanciamento di prestazioni, usabilità e sicurezza e continuiamo a esaminarlo rispetto alle minacce in evoluzione. I browser accedono ai dati delle password in memoria per aiutare gli utenti advert accedere in modo rapido e sicuro: questa è una funzionalità prevista dell’applicazione. Raccomandiamo agli utenti di installare gli ultimi aggiornamenti di sicurezza e software program antivirus per proteggersi dalle minacce alla sicurezza. “
Inoltre: è possibile cambiare gestore di password senza perdere un singolo accesso – e ne sono la prova
L’affermazione di Microsoft secondo cui il tuo dispositivo dovrebbe già essere compromesso sembra essere vera, almeno sulla base dei check di Rønning. COME mostrato in un videoil processo si basa sul fatto che un utente malintenzionato abbia già compromesso un account utente con diritti amministrativi, che gli darebbe quindi accesso alla memoria di tutti i processi utente registrati, con le password in chiaro visualizzabili.
Rønning ha affermato che Edge è l’unico browser basato su Chromium da lui testato che si comporta in questo modo. Al contrario, Google Chrome decrittografa le credenziali solo quando necessario anziché conservare tutte le password in memoria in ogni momento. Il design di Chrome rende molto più difficile per un utente malintenzionato estrarre le password salvate semplicemente leggendo la memoria del dispositivo, ha aggiunto Rønning. Finora, questa debolezza sembra essere specifica del Microsoft Password Supervisor utilizzato in Edge.
“Nonostante Edge sia basato su Chromium, nessuno degli altri browser basati su Chromium che ho testato utilizza Microsoft Password Supervisor per archiviare password e compilare automaticamente i dati”, ha affermato Rønning. “E dubito che sia basato su Chromium?”
Inoltre: queste 5 impostazioni critiche di Home windows Defender sono disattivate per impostazione predefinita: attivale al più presto
Se Google riesce a proteggere meglio il proprio browser dall’esposizione delle password in chiaro in memoria, Microsoft non dovrebbe essere in grado di fare lo stesso? In risposta al submit di Rønning, un’altra persona ha affermato che le credenziali potrebbero essere archiviate in memoria in un formato crittografato. Verrebbero decrittografati solo quando richiesto per accedere a un sito Net e quindi immediatamente cancellati.
“Da un punto di vista difensivo, archiviare le password in una memoria con testo in chiaro viola i principi di privilegio minimo, zero belief e progettazione sicura delle applicazioni”, ha dichiarato a ZDNET Morey Haber, capo consulente per la sicurezza presso il fornitore di sicurezza BeyondTrust. “È semplicemente una cattiva concept. Se una password può essere letta in memoria da un processo umano o dannoso, non è più un segreto protetto. In linea di principio è già compromessa attraverso l’archiviazione di testo in chiaro in un supporto già non sicuro.”
Insidie legate all’utilizzo del gestore password integrato nel browser
A meno che Microsoft non decida di cambiare il modo in cui funziona il suo gestore di password, cosa puoi fare se utilizzi Edge come browser predefinito per gestire le tue password?
Il mio consiglio sarebbe di passare a un gestore di password dedicato di terze parti. Sì, utilizzare il gestore password integrato nel tuo browser sembra rapido e conveniente. Ma ci sono alcune insidie oltre a quest’ultima.
Se qualcuno riesce advert accedere al tuo PC o dispositivo cellular tramite la tua password, PIN o passcode, potrebbe avviare il tuo browser e utilizzare lo stesso metodo per visualizzare le tue password. L’ho provato su un PC Home windows utilizzando solo il mio PIN e sono riuscito advert accedere alle password in testo normale in Edge. Un buon gestore di password di terze parti richiede un’autenticazione più forte per visualizzare le tue password.
Inoltre: I migliori gestori di password: testati da esperti
Un gestore di password integrato funziona solo con quel browser specifico. Puoi utilizzare Edge come impostazione predefinita, ma a volte potresti passare a Chrome o Firefox. In tal caso, le password memorizzate non sarebbero disponibili. Utilizzo Firefox, Chrome ed Edge sia a livello personale che professionale, quindi le mie password devono essere accessibili su tutti e tre.
Si spera che Microsoft consideri questo come un difetto di sicurezza e adotti lo stesso metodo utilizzato in Chrome e altri browser per decrittografare le password solo quando necessario. Fino advert allora, sconsiglio di utilizzare Edge come gestore di password.
