Microsoft Edge сохраняет пароли в памяти в виде открытого текста, заявил исследователь — ИИ для бизнеса

Microsoft Edge сохраняет пароли в памяти в виде открытого текста, заявил исследователь

Прослушать статью

Норвежский исследователь выявил проблему в Password Manager браузера Microsoft Edge, которая может представлять серьезную опасность для бизнеса.

Вывод Том Йоран Сёнстебысетер Рённинг был подтвержден немецким IT-изданием Heise.de, которое создало и сохранило пароль и обнаружило, что даже после закрытия и повторного запуска браузера пароль можно было найти в открытом тексте.

«Это функция, а не ошибка», утверждает Microsoft; эксперты не согласны.

Credit: Ascannio — shutterstock.com

В Microsoft отнеслись к обнаруженной проблеме довольно спокойно. Норвежский сайт Itavisen.no сообщил: «Рённинг уведомил Microsoft о находке, и, по словам компании, такое поведение „задумано“».

Itavisen.no также пишет, что Рённинг планирует опубликовать на GitHub простой инструмент, который позволит любому пользователю лично убедиться, что пароли хранятся в памяти в открытом тексте.

Microsoft не ответила на запрос о комментарии.

Дэвид Шипли, генеральный директор Beauceron Security, не впечатлен ответом Microsoft. «Нет, это не функция. Это простой способ уйти от ответственности. Почти так же плохо, как когда компании говорят „работает как задумано“. Суть здесь, как и в похожих недоработках, — удобство, скорость и отказ тратить больше усилий на то, что, по их мнению, не стоит смягчать», — сказал он.

По словам Шипли, эта уязвимость — открытое приглашение для киберпреступников. «Старая аргументация состоит в том, что если вредоносная программа закрепилась в системе, то это уже не имеет значения, вам и так плохо. Но здесь Microsoft фактически поднимает белый флаг перед киберпреступниками и превращает этот белый флаг в пустой чек для инфостилеров».

Другие браузеры этой проблемой не страдают. Например, Google Chrome в соответствии с рекомендациями индустрии безопасности предлагает систему под названием App Bound Encryption, которая шифрует данные браузера и не позволяет хранить их в памяти процесса в открытом тексте.

Computerworld Smart Answers

[](http://www.computerworld.com/smart-answers «What is this?»)

Изучите связанные вопросы

Спросить

Это не безотказная система; в прошлом ее уже взламывали, но делали это только целеустремленные хакеры. Уязвимость Microsoft, напротив, требует совсем немного навыков для эксплуатации.

Шипли сказал, что если Google может лучше защищать свой браузер, то у Microsoft нет причин не делать того же в Edge. «Очевидно, дело не в техническом барьере. Дело в мотивации, что не должно удивлять никого, потому что Microsoft раздает браузер бесплатно. Вы за него не платите, так почему они должны заботиться о его защите больше, чем на минимальном уровне?»

Учитывая отношение Microsoft, пользователям вполне может стоить поискать другой менеджер паролей, который был бы более безопасным.

Материал — перевод статьи с английского.

Оригинал: Edge browser leaves passwords exposed in plain text, says researcher

Подписаться на новости в Telegram