Edge salva le password in chiaro? L’allarme su Microsoft spiegato bene
Alcuni ricercatori hanno scoperto uno strano comportamento di Microsoft Edge, per quanto riguarda la gestione delle password. Si tratta di una scelta precisa di Microsoft
Un gran numero di utenti si affida al password manager integrato nel proprio browser web per il salvataggio delle password, con la comodità di poter sfruttare l’auto-inserimento e velocizzare le procedure di login.
Si tratta di un sistema semplice e che permette di agevolare la gestione delle chiavi d’accesso, senza dover memorizzare tutte le password. In molti casi, inoltre, è presente anche un generatore di password che permette di creare password complesse per massimizzare la sicurezza.
Anche Microsoft Edge adotta questo sistema e può contare su un password manager integrato. In questi giorni, però, alcuni ricercatori hanno scoperto che il browser utilizza un sistema molto particolare per la gestione dei dati di accesso.
Secondo Microsoft, che ha risposto ai dubbi degli utenti, non si tratta di un problema, ma in tanti stanno evidenziando le possibili problematiche legate al sistema realizzato dall’azienda americana. Andiamo a riepilogare i dettagli.
Un rischio per la sicurezza?
A sollevare la questione è stato un ricercatore specializzato in cybersicurezza, Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N su X). Microsoft Edge è l’unico browser basato su Chromium che carica in memoria tutte le password dell’utente in chiaro, una volta avviata l’applicazione. Il sistema sviluppato da Microsoft non prevede (a differenza di quanto fatto da altri browser basati su Chromium, come Google Chrome) un sistema di crittografia dei dati.
Secondo il ricercatore: “Quando si salvano le password in Edge, il browser decifra tutte le credenziali all’avvio e le conserva nella memoria di processo. Questo accade anche se non si visita mai un sito che utilizza quelle credenziali. Se un utente malintenzionato ottiene l’accesso amministrativo a un server terminale, può accedere alla memoria di tutti i processi degli utenti connessi.“.
Il comportamento di Edge, che ha ormai integrato Copilot per sfruttare diverse funzioni AI, è, quindi, molto diverso da quello di Chrome, che carica in memoria (senza crittografia) i dati solo quando l’utente accede al gestore di password o al menu di compilazione automatica, per poter utilizzare i dati salvati. Anche se, come vedremo di seguito, questo comportamento non preoccupa Microsoft (si tratta, infatti, di una precisa scelta progettuale), gli utenti dovrebbero essere messi a conoscenza di questo sistema.
La risposta di Microsoft
Microsoft è intervenuta sulla questione. Un portavoce ha rilasciato una risposta ufficiale a Windows Central, sottolineando:
“La sicurezza è fondamentale per Microsoft Edge. L’accesso ai dati del browser, come descritto nello scenario segnalato, presuppone che il dispositivo sia già compromesso. Le scelte di progettazione in questo ambito implicano un equilibrio tra prestazioni, usabilità e sicurezza, e continuiamo a monitorarle costantemente in base all’evoluzione delle minacce. I browser accedono ai dati delle password in memoria per consentire agli utenti di effettuare l’accesso in modo rapido e sicuro: si tratta di una funzionalità prevista dall’applicazione. Consigliamo agli utenti di installare gli aggiornamenti di sicurezza più recenti e un software antivirus per proteggersi dalle minacce alla sicurezza.”
Una scelta consapevole
Il sistema di gestione dei dati realizzato da Microsoft ruota intorno al comportamento descritto dal ricercatore. Si tratta di una scelta consapevole adottata dagli sviluppatori dell’azienda americana. In questo modo, il browser può risultare più veloce, avendo già a disposizione i dati in chiaro, e punta a offrire un’esperienza di navigazione e autenticazione migliore.
Questa scelta progettuale, come sottolineato dall’azienda stessa, è legata a doppio filo alla sicurezza del dispositivo. I dati nel browser sono al sicuro fino a quando il dispositivo è al sicuro. Se il dispositivo è compromesso, invece, le cose si complicano, a differenza di quanto avviene con altri browser che mantengono protetti i dati fino a quando l’utente non effettua l’accesso.
Al momento, Microsoft non sembra aver intenzione di effettuare modifiche, tanto da aver sottolineato l’importanza di mantenere sempre aggiornato il sistema operativo. Ogni utente è libero di scegliere cosa fare. Il sistema adottato da Microsoft resta sicuro, fino a quando il dispositivo è sicuro e non compromesso.
