Nórsky bezpečnostný výskumník Tom Jøran Sønstebyseter Rønning minulý týždeň verejne prezentoval dôkazy o tom, že Microsoft Edge načíta pri spustení všetky uložené heslá do operačnej pamäte v čitateľnej podobe a uchováva ich tam po celú dobu behu prehliadača. Microsoft problém neodmieta. Označuje ho za zámerné dizajnové rozhodnutie a opraviť ho neplánuje.
Rønning zároveň zverejnil na platforme GitHub nástroj, ktorý správanie demonštruje v praxi: dokáže vypísať všetky uložené heslá priamo z pamäte bežiaceho prehliadača. Podľa portálu CyberNews k dešifrovaniu dochádza okamžite po otvorení Edge, bez ohľadu na to, či používateľ počas danej relácie navštívi webstránky, ku ktorým heslá patria.
Štyri roky bez zmeny
Problém nie je nový. Ako referuje Heise, bezpečnostný výskumník Zeev Ben Porat popísal to isté správanie už v roku 2022 v článku pre portál CyberArk. Edge teda uchováva heslá v pamäti bez šifrovania minimálne štyri roky. Keď Rønning nahlásil svoje zistenia Microsoftu, spoločnosť mu odpovedala, že nejde o chybu.
Microsoft vo svojej dokumentácii uvádza, že Edge používa šifrovanie AES pri ukladaní hesiel na disk a že šifrovacie kľúče sú uložené v chránenom umiestnení operačného systému. Toto tvrdenie platí iba pre stav, keď prehliadač nebeží. Akonáhle ho spustíte, heslá sa dešifrujú a zostávajú v pamäti bez ochrany počas celej relácie.
Overenie chráni len rozhranie
Edge na prvý pohľad pôsobí bezpečne. Pred zobrazením hesiel v správcovi vyžaduje opätovné overenie totožnosti, zadanie systémového hesla alebo biometriu. Ako vysvetľuje PCWorld, toto overenie chráni iba grafické rozhranie. Heslá sú v pamäti uložené v čitateľnej podobe ešte predtým, ako sa akékoľvek overenie zobrazí, takže útočník schopný čítať obsah pamäte procesu ho nemusí vôbec absolvovať.
Rønningova dokumentácia, ktorú cituje Forbes, uvádza, že Edge je jediným z testovaných prehliadačov postavených na jadre Chromium, ktorý uchováva heslá takýmto spôsobom. Chrome dešifruje heslá iba v momente, keď ich skutočne potrebuje, napríklad pri automatickom vypĺňaní formulárov. Navyše využíva technológiu App-Bound Encryption, ktorá viaže dešifrovacie kľúče priamo na autentifikovaný proces prehliadača a zabraňuje iným aplikáciám tieto kľúče zneužiť.
Zdieľané zariadenia a vzdialený prístup
The Cyber Security Hub prostredníctvom siete LinkedIn upozornil na konkrétny scenár: ak sa na tom istom zariadení prihlási iný používateľ bez toho, aby predtým zatvoril Edge, heslá predchádzajúceho používateľa zostanú v pamäti prístupné. Útočník s administrátorskými oprávneniami tak môže získať prihlasovacie údaje kohokoľvek, kto Edge ponechal spustený. Bezpečnostný framework MITRE ATT&CK klasifikuje tento typ útoku ako T1555.003, teda extrakciu prihlasovacích údajov z pamäte prehliadača.
Pre bežného domáceho používateľa s fyzickou kontrolou nad zariadením predstavuje zistenie relatívne malé riziko. Väčší problém je to pri zdieľaných zariadeniach, firemných počítačoch, vzdialených prístupoch cez Remote Desktop alebo pri zariadení kompromitovanom škodlivým softvérom schopným čítať pamäť procesov. Práve v týchto prostrediach, kde sa Edge nasadzuje najčastejšie ako predvolený firemný prehliadač, je expozícia najvyššia.
Bitwarden, 1Password, KeePass
CyberNews odporúča používateľom, ktorí si ukladajú heslá do Edge, zvážiť prechod na dedikovaného správcu hesiel. Medzi bezplatné možnosti patrí Bitwarden, open-source riešenie uchovávajúce heslá zašifrované aj počas aktívnej relácie. Spomedzi platených alternatív portál uvádza 1Password, Dashlane a KeePass.
Prípad Edge zároveň poukazuje na širší problém prehliadačových správcov hesiel. Nie sú to primárne bezpečnostné nástroje, ale doplnkové funkcie zamerané na komfort. Ďalším rizikom je viazanosť hesiel na konkrétny prehliadač: stratou prístupu k účtu Microsoft pre Edge alebo Google pre Chrome používateľ prichádza aj o uložené prihlasovacie údaje.
