Microsoft hazarduje s uživatelskými hesly. Ukládá je v nezašifrované podobě
Prohlížeč Microsoft Edge čelí kritice kvůli ukládání hesel. Bezpečnostní expert ukázal, že zůstávají v paměti počítače.
Hesla v paměti
Internetová bezpečnost je velké téma. Kyberzločinci jsou stále o krok napřed. O to větší vyvolalo pozornost, že populární prohlížeč Microsoft Edge je, pokud jde o nakládání s uloženými hesly, doslova děravý jako cedník. Bezpečnostní výzkumník Tom Jøran Sønstebyseter Rønning ukázal, že prohlížeč po spuštění načte všechna uložená přihlašovací data do operační paměti počítače. Přístup k nim pak může získat software s administrátorskými právy.
Rønning zveřejnil video na sociální síti X, ve kterém pomocí jednoduchého nástroje v příkazovém řádku získal uložená hesla z Edge. Podle jeho zjištění prohlížeč dešifruje všechny uložené údaje ihned po spuštění a drží je v paměti bez ohledu na to, zda uživatel navštíví konkrétní web. Upozornil také na to, že jiné prohlížeče založené na Chromium fungují odlišně. Google Chrome například načítá jen údaje potřebné pro automatické vyplnění a následně je z paměti odstraní.
Praktický dopad se ukázal také v prostředí terminálových serverů Windows. Pokud útočník získá administrátorský přístup, může podle zveřejněné ukázky zobrazit přihlašovací údaje více současně přihlášených uživatelů. Další bezpečnostní výzkumník Rob VandenBrink navíc potvrdil, že uložená hesla zůstávají viditelná i ve výpisu paměti vytvořeném přes Správce úloh Windows.
Spor o bezpečnost
Microsoft kritiku bezpečnostních expertů odmítl s tím, že popisovaný scénář vyžaduje, aby počítač již byl napaden. Firma uvedla, že přístup k datům v popsané situaci předpokládá administrátorskou kontrolu zařízení, například po napadení malwarem. Podle společnosti je způsob, jakým Edge pracuje s hesly, záměrný a nejedná se o chybu. Tvrdí, že jde o kompromis mezi výkonem, použitelností a bezpečností, který má zrychlit přihlašování uživatelů.
Debata se ale rychle rozšířila mezi bezpečnostní odborníky. Část z nich upozorňuje, že malware s administrátorskými právy představuje kritický problém bez ohledu na použitý prohlížeč. Jiní naopak tvrdí, že Microsoft mohl zvolit opatrnější přístup podobný Chromu a minimalizovat množství citlivých dat uložených v paměti.
Případ znovu otevírá otázku, jak velkou roli hraje ochrana dat v samotných aplikacích. Edge patří mezi nejpoužívanější prohlížeče ve Windows a způsob práce s hesly může být důležitý hlavně ve firemním prostředí. Kritika zároveň ukazuje, že i běžné funkce zaměřené na pohodlí uživatelů mohou vyvolat spor o bezpečnostní standardy moderních prohlížečů.
Autor článku
Pavel se dlouhodobě zajímá o moderní technologie – od mobilů až po elektromobily. Ve volném čase rád fotí, sleduje dobré filmy, čte a jezdí na elektrokole.
Pavel se dlouhodobě zajímá o moderní technologie – od mobilů až po elektromobily. Ve volném čase rád fotí, sleduje dobré filmy, čte a jezdí na elektrokole.
