Μια πρόσφατη αποκάλυψη από ερευνητή ασφαλείας έχει προκαλέσει αναστάτωση στους χρήστες του Microsoft Edge, καθώς διαπιστώθηκε ότι ο browser φορτώνει όλους τους αποθηκευμένους κωδικούς πρόσβασης στη μνήμη (RAM) σε μορφή απλού κειμένου (plaintext) κατά την εκκίνηση.
Το πιο ανησυχητικό είναι ότι η Microsoft απάντησε πως αυτή η συμπεριφορά είναι «by design» (εσκεμμένη), προκαλώντας ερωτήματα για το αν οι χρήστες πρέπει να στραφούν στο Chrome ή σε άλλους browsers.
Microsoft Edge – Το πρόβλημα: Κωδικοί εκτεθειμένοι στη μνήμη
Ο ερευνητής Tom Jøran Sønstebyseter Rønning αποκάλυψε ότι ο Edge αποκρυπτογραφεί όλους τους κωδικούς σας μόλις ανοίξει το πρόγραμμα, ακόμη και αν δεν επισκεφθείτε ποτέ τις ιστοσελίδες στις οποίες αντιστοιχούν. Αν ένας εισβολέας αποκτήσει πρόσβαση στο σύστημα (σε επίπεδο διαχειριστή), μπορεί να «διαβάσει» τη μνήμη της διεργασίας του Edge και να αποσπάσει όλους τους κωδικούς σας χωρίς καμία προσπάθεια σπασίματος κρυπτογράφησης.
Η απάντηση της Microsoft
Η Microsoft υποστηρίζει ότι αυτή η επιλογή έγινε για την εξισορρόπηση της απόδοσης, της ευχρηστίας και της ασφάλειας, ώστε οι χρήστες να συνδέονται γρήγορα. Επιπλέον, εκπρόσωπος της εταιρείας δήλωσε:
«Η πρόσβαση στα δεδομένα του browser απαιτεί τη συσκευή να έχει ήδη παραβιαστεί. Συνιστούμε στους χρήστες να εγκαθιστούν τις τελευταίες ενημερώσεις ασφαλείας και λογισμικό προστασίας από ιούς».
Edge vs Chrome: Ποιος είναι πιο ασφαλής;
Αν και ο Edge βασίζεται στον κώδικα Chromium (όπως και το Chrome), το Google Chrome δεν εμφανίζει αυτήν τη συμπεριφορά.
Chrome: Αποκρυπτογραφεί τα διαπιστευτήρια μόνο όταν χρειάζεται (just-in-time).
App-Bound Encryption: Το Chrome χρησιμοποιεί ένα επιπλέον επίπεδο ασφάλειας που «δένει» την αποκρυπτογράφηση με τη συγκεκριμένη διεργασία του Chrome, εμποδίζοντας άλλα προγράμματα να κλέψουν τα κλειδιά.
Είναι ώρα για αλλαγή;
Οι ειδικοί στον τομέα της κυβερνοασφάλειας, όπως ο Ted Miracco (CEO της Approov), προειδοποιούν ότι οι σύγχρονοι «infostealers» (λογισμικά κλοπής πληροφοριών) ευδοκιμούν ακριβώς σε τέτοια κενά ασφαλείας, όπου τα δεδομένα είναι κρυπτογραφημένα στον δίσκο αλλά «γυμνά» στη μνήμη κατά την εκτέλεση.
Η συμβουλή των ειδικών:
Αν και το Chrome φαίνεται πιο θωρακισμένο στη συγκεκριμένη περίπτωση, η καλύτερη λύση` δεν είναι η απλή αλλαγή browser, αλλά η εγκατάλειψη των password managers των browsers.
Χρησιμοποιήστε έναν εξειδικευμένο password manager (όπως το Bitwarden, το 1Password ή το Dashlane).
Αυτά τα προγράμματα είναι σχεδιασμένα με μοναδικό σκοπό την ασφάλεια και δεν αφήνουν κωδικούς εκτεθειμένους στη μνήμη για μεγάλα χρονικά διαστήματα.
Αν βασίζεστε στον Edge για τη διαχείριση των κωδικών σας, η παραδοχή της Microsoft ότι η έκθεσή τους στη μνήμη είναι εσκεμμένη αποτελεί ένα σοβαρό σήμα κινδύνου που δεν πρέπει να αγνοήσετε.
