|
Professor Seleznov
|
В Microsoft изначально заявили, что Edge хранит пароли в памяти в виде открытого текста, так как это поведение «заложено в дизайне» (behavior as "by design"). Но после появления инструментов для раскрытия таких данных в компании поменяли свою позицию.
В рамках доработки Edge от команды Microsoft Browser Vulnerability Research в компании подтвердили, что текущая конструкция хранения паролей «соответствует ожидаемой модели угроз», поскольку она становится рискованной только в том случае, если у кого-то уже есть административный доступ к устройству пользователя. На этом этапе пользователь уже находится в безвыходном положении, поскольку Microsoft мало что может сделать с тем, кто запускает вредоносное ПО с повышенными привилегиями на ПК. Тем не менее, Microsoft признала, что это также возможность для улучшения Edge.
В Microsoft работают над приоритетным обновлением (не только над функциями на основе ИИ), которое будет развёрнуто для всех поддерживаемых сборках Edge (версия 148 и новее в каналах Stable, Beta, Dev и Canary). Патч предотвратит загрузку паролей в память в виде открытого текста. Microsoft заявила, что это изменение отражает её приверженность инициативе «Безопасное будущее» и «более широкий взгляд» на меры безопасности.
«Это означает рассмотрение не только того, соответствует ли что‑либо критериям проблемы безопасности, но и того, где мы можем уменьшить уязвимость за счёт улучшения многоуровневой защиты. В данном случае, уменьшение уязвимости паролей в памяти является практическим шагом в этом направлении, — заявили в Microsoft. В компании не раскрывает точные изменения в менеджере паролей Edge. В Microsoft продолжают заявлять, что пользователям, которые уже хранят свои пароли в Microsoft Edge, не о чем беспокоиться, и обещанный патч исправит выявленную „проблему“ без каких‑либо действий со стороны конечного пользователя».
Ранее исследователь в области кибербезопасности Том Йоран Сёнстебюсетер Рённинг выпустил инструмент EdgeSavedPasswordsDumper, демонстрирующий, как обрабатываются сохранённые пароли в Microsoft Edge. Оказалось, что браузер загружает сохранённые учётные данные пользователя в системную память в открытом виде при запуске, даже когда эти учётные данные не используются активно. И также Edge всё равно запрашивает повторный вход в свои системы, в то время как все пароли хранятся в оперативной памяти без защиты.
Для объяснения этого поведения исследователь опубликовал на GitHub инструмент EdgeSavedPasswordsDumper в виде образовательной утилиты, предназначенной для помощи специалистам по безопасности и пользователям в проверке того, как управляются сохранённые учётные данные в среде браузера. Инструментарий работает с помощью доступа к памяти процесса браузера, где имена пользователей и пароли могут храниться в читаемом виде. Для проверки работу утилиты нужны права администратора (для доступа к памяти процессов Edge других пользователей).
В 2023 году Microsoft Edge начал шифровать сохранённые пароли и показывать вместо них строки, похожие на серийные ключи, подобные GUID (Globally Unique Identifier, статистически уникальный 128-битный идентификатор). Это изменение сделало невозможным просмотр или копирование исходных паролей.
Профильные эксперты пояснили, что ошибка в обновлении Microsoft Edge незаметно изменила сохранённые пароли в браузере в версии для Windows 11, iOS и других устройствах на строки последовательных ключей, подобные GUID, сбивая пользователей с толку. По мнению разработчиков, это изменение, якобы, должно было сделать сохранённые пароли бесполезными для копирования и вставки в другие приложения или веб-сайты. Например, если сохранённый пароль для некого сервиса Hello@123, то при попытке просмотреть этот пароль в Microsoft Edge будет отображаться строка 6B29FC40-CA47-1067-B31D-00DD010662DA.
 -Источник
|
|
|
