Falha de segurança do Edge expõe senhas de usuários

Uma falha de segurança do Edge que exibe as senhas do usuário foi descoberta, mas a Microsoft afirma que isso já era esperado.

Uma grave falha de segurança do Edge foi descoberta, porém a Microsoft afirmou que era um comportamento esperado do navegador.

Agora eu fico feliz ou triste? Afinal, pela afirmação da própria Microsoft já era espera o Edge ter falhas de segurança?

Embora a resposta seja inusitada o caso é sério, pois expõe informação privilegiada do usuário para um atacante.

Falha de segurança do Edge expõe senhas de usuários

O problema é que o Edge armazena na memória RAM as senhas do usuário em formato de texto puro, sem nenhum tipo de criptografia.

As senhas são oriundas do gerenciador de senhas que o Edge possui e tem a finalidade de facilitar a vida do usuário facilitando o preenchimento de múltiplos usuários e senhas.

O problema é que ao ser iniciado o Edge coloca essas senhas em um espaço reservado da memória RAM em texto puro.

Desta forma é factível que um malware qualquer ou um hacker em um ataque direcionado possa capturar essas senhas.

O pesquisador Tom Jøran Sønstebyseter Rønning que foi o descobridor da falha alerta:

Quando você salva senhas no Edge, o navegador descriptografa cada credencial na inicialização e as mantém residentes na memória do processo. Isso acontece mesmo se você nunca acessar um site que usa essas credenciais.

(…) O Edge é o único navegador baseado em Chromium que testei que se comporta desse modo. Em contraste, o Chrome usa um design que torna muito mais difícil para invasores extrair senhas salvas simplesmente lendo a memória do processo.

O grande problema foi a resposta da Microsoft

A resposta da Microsoft foi a mais inusitada possível: isso é um comportamento esperado e não vamos muda-lo.

Em nota a Microsoft afirmou:

Segurança e proteção são fundamentais para o Microsoft Edge. O acesso aos dados do navegador, conforme descrito no cenário relatado, exigiria que o dispositivo já estivesse comprometido.

(…) Os navegadores acessam os dados de senha na memória para ajudar os usuários a fazer login de forma rápida e segura — esse é um recurso esperado do aplicativo.

Recomendamos que os usuários instalem as atualizações de segurança e o software antivírus mais recentes para ajudar a se proteger contra ameaças à segurança.

Resumindo, para a Microsoft, um atacante só poderia explorar essa falha se todo o sistema estivesse comprometido.

Parece que ela se esqueceu de uma regra base da segurança: minize o dano.

Mesmo com o sistema comprometido o seu navegador deveria garantir que as senhas armazenadas não pudessem ser acessadas e compreendidas pelo atacante.

Pelo jeito, é mais um motivo para não utilizar o Microsoft Edge.