5月6日消息,近日,一名挪威安全研究员曝出重大安全问题。微软Edge浏览器被发现会将用户保存的所有密码,以明文形式存放在进程内存中,带来极高的账号信息泄露风险。
该研究员是渗透测试领域专家,网名Tom Jøran Sønstebyseter Rønning。他在测试147.0.3912.98版本Edge浏览器时发现,软件启动瞬间就会解密用户全部已保存密码。这些密码全程以明文形式驻留在内存中,即使用户全程未访问需要相关登录信息的网站,也不会被清除。
这一行为在主流浏览器中极为罕见。在他测试的所有基于Chromium内核的浏览器里,Edge是唯一采取该设计的产品。同为Chromium内核的谷歌Chrome浏览器,仅在自动填充或用户主动查看时,才会解密对应单条密码,使用后立即清除明文数据。
Chrome还配套了应用绑定加密技术,将解密操作与认证后的浏览器进程绑定,大幅提升攻击门槛。
Edge的设计让密码防护形同虚设。即便浏览器在密码管理界面要求用户重新认证才能查看密码,也无法阻止攻击者通过读取内存获取全部明文密码。只需获取设备本地访问权限,攻击者通过简单的内存转储操作,就能批量窃取用户所有账号密码。在共享终端服务器等场景中,攻击者甚至能读取其他已登录用户、断开连接但仍保留活跃会话用户的密码数据。
该研究员已将问题上报给微软。微软明确回应,这一行为是刻意的设计决策,并非程序漏洞。微软称,该设计是为了优化用户登录时的性能体验,属于预期内的功能。
对于相关安全风险,微软表示,攻击成立的前提是设备已被入侵,建议用户及时更新系统补丁、规避恶意程序。
目前,该研究员已公开相关概念验证演示。他还计划在GitHub发布检测工具,供普通用户自查风险。
业内安全人士建议,Edge用户应尽快将密码迁移至专业第三方密码管理器,同时删除浏览器内保存的所有密码,规避信息泄露风险。
