Microsoft má opäť čo vysvetľovať. Bezpečnostný výskumník objavil, že prehliadač Microsoft Edge pri spustení dešifruje všetky uložené heslá a ponecháva ich v operačnej pamäti počítača bez akéhokoľvek šifrovania, a to po celú dobu, kedy prehliadač beží. Problém je pritom známy minimálne štyri roky.
Microsoft ho označuje za zámerné dizajnové rozhodnutie a opraviť ho neplánuje. Pre používateľa to znamená jedno: ak si ukladáte heslá do prehliadača Edge, vaše prihlasovacie údaje sú zraniteľné voči každému, kto má administrátorský prístup k vášmu zariadeniu. A to môže byť problém.
Čo presne sa zistilo?
Nórsky bezpečnostný výskumník Tom Jøran Sønstebyseter Rønning minulý týždeň verejne prezentoval dôkazy o tom, že Edge pri štarte načíta celý trezor hesiel do pamäte RAM v čitateľnej podobe. Ako informuje portál CyberNews, toto správanie nastáva okamžite po otvorení prehliadača, teda bez ohľadu na to, či používateľ počas danej relácie navštívi webstránky, ku ktorým tieto heslá patria, alebo nie.
Rønning zároveň zverejnil na platforme GitHub jednoduchý nástroj, ktorý toto správanie demonštruje: dokáže vypísať všetky uložené heslá priamo z pamäte bežiaceho prehliadača.
Obzvlášť znepokojujúci je scenár, na ktorý upozornil The Cyber Security Hub prostredníctvom siete LinkedIn. Ak sa na tom istom zariadení prihlási iný používateľ bez toho, aby predtým zatvoril Edge, heslá predchádzajúceho používateľa zostanú v pamäti prístupné.
Útočník s administrátorskými oprávneniami tak môže získať prihlasovacie údaje akéhokoľvek používateľa, ktorý Edge ponechal spustený. Ide o typ útoku klasifikovaný v bezpečnostnom frameworku MITRE ATT&CK ako T1555.003, teda extrakcia prihlasovacích údajov z pamäte prehliadača.
Ilúzia ochrany
Na prvý pohľad môže pôsobiť Edge bezpečne. Pred zobrazením hesiel v rozhraní správcu hesiel totiž vyžaduje opätovné overenie totožnosti, napríklad zadaním systémového hesla alebo biometriky. Ako však vysvetľuje PCWorld, toto overenie chráni iba grafické rozhranie, nie samotné dáta.
Heslá sú totiž v pamäti uložené v čitateľnej podobe ešte predtým, ako sa akékoľvek overenie zobrazí. Útočník, ktorý dokáže čítať obsah pamäte procesu, k nim získa prístup bez toho, aby musel overenie vôbec absolvovať.
Rønningova dokumentácia, ktorú cituje Forbes, uvádza, že Edge je jediným z testovaných prehliadačov postavených na jadre Chromium, ktorý uchováva heslá takýmto spôsobom. Taký Chrome dešifruje heslá iba v momente, keď ich skutočne potrebuje, napríklad pri automatickom vypĺňaní formulárov alebo keď si ich používateľ zobrazí.
Navyše,Chrome využíva technológiu App-Bound Encryption (ABE), ktorá viaže dešifrovacie kľúče priamo na autentifikovaný proces prehliadača a zabraňuje iným aplikáciám tieto kľúče zneužiť.
Problém nie je nový
Toto správanie pritom bolo pôvodne odhalené už dávnejšie. Ako referuje Heise, bezpečnostný výskumník Zeev Ben Porat popísal ten istý problém už v roku 2022 v článku pre portál CyberArk. Edge teda uchováva heslá v pamäti bez šifrovania minimálne štyri roky. Od tých čias sa v tomto smere de facto nič nezmenilo. Keď Rønning nahlásil svoje zistenia Microsoftu, spoločnosť mu odpovedala, že ide o zámerné dizajnové rozhodnutie, nie o chybu, ktorú by bolo potrebné opraviť.
Nerprehliadnite
Microsoft vo svojej dokumentácii tvrdí, že Edge používa šifrovanie AES pri ukladaní hesiel na disk a že šifrovacie kľúče sú uložené v chránenom umiestnení operačného systému. Toto tvrdenie je technicky pravdivé, no platí iba pre stav, keď prehliadač nebeží. Akonáhle ho spustíte, heslá sa dešifrujú a zostávajú v pamäti bez ochrany počas celej relácie.
Čo z toho plynie pre vás ako používateľov
Pre bežného domáceho používateľa, ktorý má zariadenie fyzicky pod kontrolou a nikomu inému k nemu nepovoľuje prístup, predstavuje toto zistenie relatívne malé bezpečnostné riziko. Problém je to skôr v prípade zdieľaných zariadení, firemných počítačov, vzdialených prístupov cez Remote Desktop alebo v situácii, keď je zariadenie kompromitované škodlivým softvérom schopným čítať pamäť procesov.
CyberNews odporúča používateľom, ktorí si ukladajú heslá do Edge, aby zvážili prechod na dedikovaného správcu hesiel. Medzi bezplatné a dôveryhodné možnosti patrí napríklad Bitwarden, čo je open-source riešenie, ktoré uchováva heslá zašifrované aj počas aktívnej relácie. Spomedzi platených alternatív sú odporúčané 1Password, Dashlane či KeePass.
Prípad Edge napokon poukazuje na širší problém prehliadačových správcov hesiel. Nie sú to primárne bezpečnostné nástroje, ale skôr doplnkové funkcie, ktoré sú zamerané na maximalizáciu komfortu používateľa. Aby toho nebolo málo, ich ďalším rizikom je viazanosť hesiel na konkrétny prehliadač. To znamená, že ak stratíte prístup k účtu prehliadača (napríklad k účtu Microsoft pre Edge alebo Google pre Chrome) prídete aj o prístup k uloženým heslám.
