Um pesquisador norueguês identificou um problema com o Gerenciador de Senhas do Microsoft Edge que pode ser uma séria preocupação para as empresas.
Tom Jøran Sønstebyseter Rønning descobriu que as senhas estão sendo salvas no navegador em texto simples, o que faz com que qualquer PC, especialmente uma máquina compartilhada, dentro de uma organização seja um risco potencial.
Em uma postagem no X, Rønning explicou que quando os usuários salvam senhas no Edge, o navegador descriptografa todas as credenciais na inicialização e as mantém residentes na memória do processo, independentemente de o usuário visitar o site.
A descoberta de Rønning foi replicada pela publicação alemã de TI Heise.de, que criou e salvou uma senha e descobriu que, mesmo depois de o navegador ter sido fechado e reaberto, a senha poderia ser encontrada em texto simples.
A Microsoft não se importou com a descoberta. O site norueguês Itavisen.no disse: “Rønning relatou a descoberta à Microsoft e, de acordo com a empresa, o comportamento é ‘intencional’”.
Itavisen.no disse ainda que Rønning planeja publicar uma ferramenta simples no GitHub que permite às pessoas ver por si mesmas que as senhas estão armazenadas em texto simples na memória.
A Microsoft não respondeu a um pedido de comentário.
David Shipley, CEO da Beauceron Security, não está impressionado com a resposta da Microsoft. “Não, não é um recurso. Essa é uma maneira fácil de fugir da responsabilidade. É quase tão ruim quanto quando as empresas dizem ‘trabalhar conforme planejado’. A questão aqui, como acontece com deficiências semelhantes, é a conveniência, a rapidez e evitar investir mais esforço em algo que eles acham que não vale a pena mitigar”, disse ele.
O bug é um convite aberto aos criminosos cibernéticos, disse Shipley. “O velho argumento é que se o malware ganha persistência, então não faz diferença, você está em apuros de qualquer maneira. Ele está agitando a bandeira branca contra os cibercriminosos e transformando essa bandeira branca em um cheque em branco para ladrões de informações.”
Outros navegadores não sofrem com o problema. Por exemplo, o Google Chrome, em linha com as recomendações do setor de segurança, oferece um sistema chamado App Bound Encryption que criptografa os dados do navegador e garante que eles não sejam armazenados na memória do processo em texto simples.
Não é um sistema infalível; foi quebrado no passado, mas por hackers determinados. O bug da Microsoft, por outro lado, requer pouca habilidade para ser explorado.
Shipley disse que se o Google puder fazer um trabalho melhor para proteger seu navegador, não há razão para que a Microsoft não possa fazer o mesmo com o Edge. “Claramente não é um obstáculo técnico. É um obstáculo motivacional, o que não deveria surpreender ninguém porque a Microsoft está doando o navegador. Você não paga por ele, então por que eles deveriam se preocupar em bloqueá-lo mais do que o mínimo?”
Dada a atitude da Microsoft, os usuários podem querer procurar outro gerenciador de senhas, algo que seja mais seguro.
Fonte: Computer World
