Skandal s Edgeom: Microsoft tvrdi da je spremanje lozinki u RAM kao običan tekst zapravo značajka

· Sanja Ledinek

Sigurnosni istraživači otkrili su da Microsoft Edge pri pokretanju učitava sve spremljene lozinke u RAM memoriju u nešifriranom obliku (plaintext). Dok stručnjaci upozoravaju na opasnost od krađe podataka, Microsoft tvrdi da je to svjesna odluka radi boljih performansi.

Kako je otkriven propust?

Istraživač Tom Jøran Sønstebyseter Rønning demonstrirao je putem videa koliko je lako izvući lozinke iz Edgea. Problem leži u tome što Edge, za razliku od Chromea, dešifrira apsolutno sve spremljene vjerodajnice čim se preglednik pokrene i drži ih u memoriji procesa.

  • Problem: Lozinke su u memoriji čak i ako ne posjećujete stranice za koje su one vezane.
  • Metoda: Napadač s lokalnim pristupom (ili putem zlonamjernog softvera) može jednostavno kreirati memory dump Edge procesa putem Task Managera i u toj datoteci pretražiti lozinke običnim tekstualnim upitima.

Skandal s Edgeom_ Microsoft tvrdi da je spremanje lozinki u RAM kao običan tekst zapravo značajka_2

Microsoftov odgovor: Brzina ispred sigurnosti?

Microsoft je službeno opovrgnuo da se radi o sigurnosnom propustu. Njihovo objašnjenje temelji se na tri ključne točke:

  • Korisničko iskustvo: Čuvanje lozinki u memoriji omogućuje “bržu i sigurniju” prijavu na web usluge bez kašnjenja.
  • Uvjet napada: Tvrde da prijetnja postoji samo ako je računalo već kompromitirano zlonamjernim softverom ili ako haker ima administratorski pristup.
  • Balansiranje: Ističu da dizajn softvera uvijek zahtijeva balans između performansi, upotrebljivosti i sigurnosti.
  • Zanimljivost: Iako Microsoft tvrdi da je Windows Defender u Windowsima 11 dovoljan za većinu, u ovom su slučaju preporučili korisnicima “instalaciju dodatnog antivirusnog softvera”, što su mnogi protumačili kao priznanje da ugrađeni sustavi ne mogu spriječiti ovaj specifični rizik.

Usporedba: Edge vs. Chrome

Iako oba preglednika koriste isti Chromium temelj, pristup upravljanju memorijom je drastično drugačiji:

Google Chrome dešifrira lozinku tek u trenutku kada korisnik zatraži automatsko popunjavanje (autofill) i odmah nakon toga briše nešifrirane podatke iz RAM-a, dok  Microsoft Edge dešifrira cijelu bazu lozinki pri samom pokretanju aplikacije i ostavlja je “izloženu” u RAM-u dokle god je preglednik otvoren.

Skandal s Edgeom_ Microsoft tvrdi da je spremanje lozinki u RAM kao običan tekst zapravo značajka_3

Što kažu stručnjaci?

Zajednica je podijeljena. Sigurnosni istraživač Rob VandenBrink uspješno je replicirao napad i potvrdio da su lozinke vidljive u memory dumpu. Servis Vx Underground upozorava da zlonamjerni softver (infostealeri) može lako iskoristiti ovu “značajku” na kućnim računalima. S druge strane, neki stručnjaci smatraju da je rizik preuveličan jer, ako napadač već ima administratorski pristup vašem RAM-u, vaše su lozinke ionako najmanji problem.

Savjet za korisnike

Dok Microsoft ne promijeni ovaj pristup (što trenutno ne planiraju), najsigurnija opcija ostaje korištenje eksternih upravitelja lozinki (poput Bitwardena ili 1Passworda) umjesto onog ugrađenog u preglednik, te redovito ažuriranje sustava.

DRUGE NOVOSTI