详细内容或原文请订阅后点击阅览
微软称 Edge 的明文密码行为是“设计使然”
一名研究人员发现,Edge 在启动时会将保存的密码加载到计算机内存中,如果设备已经受到威胁,这些密码将更容易被窃取。
来源:Malwarebytes Labs 博客前段时间,我们讨论了是否应该让浏览器记住您的密码。
在那篇文章中我们提到了加密的重要性。
“使用浏览器密码管理器,有权访问您浏览器的人可以以明文形式看到您的密码,尽管 Windows 可以设置为要求身份验证(与您在设备启动时使用的相同)。”
浏览器密码管理器的典型行为是将密码加密存储在磁盘上、与您的用户帐户绑定并受操作系统保护。
但最近,一位安全研究人员系统地测试了每个基于 Chromium 的主要浏览器,了解它们如何处理内存中的凭据。研究人员发现,Edge 是唯一一个在启动时将整个密码库加载到纯文本进程内存中的程序,并在会话期间保留在内存中。
据观察,Chrome 和其他 Chromium 浏览器仅在需要时解密密码(自动填充或“显示密码”),而不是整个保管库,并使用应用程序绑定加密等机制进行密钥加密。 Edge 在此上下文中不使用这些保护。
因此,研究人员决定编写一个概念验证 (PoC),证明访问该保险库不依赖于零日或复杂的利用。它依赖于读取进程内存的相对简单的能力,这确实需要提升的权限。
但当研究人员向微软报告这个问题时,反应却平淡无奇。该公司的官方回应是,这种行为是“设计使然”。最有可能的原因是,这种行为会加快登录和自动填充的速度,而攻击者已经需要一台受感染的计算机或提升读取 RAM 的权限,而 Microsoft 认为这超出了此设计决策的范围。
这只是攻击者在破坏您的计算机后可以做的另一件事。结合 2024 年的这项学术研究,发现许多密码管理器在某些情况下会将明文密码泄漏到内存中,这让我们重复我们的建议。