O Microsoft Edge armazenava senhas em texto simples na memoria do processo - uma realidade silenciosamente perigosa para os usuarios do segundo navegador de computador mais popular do mundo. Quando um pesquisador de seguranca publicou uma prova de conceito, a resposta inicial da Microsoft foi que esse comportamento era "by design" - ou seja, proposital. A empresa recuou sob pressao publica e anunciou que o Edge 148 mudara a forma como as credenciais sao tratadas na memoria. O episodio e um lembrete significativo de que o gerenciador de senhas integrado ao navegador nao e o cofre seguro que a maioria dos usuarios acredita ser.
O Que o Edge Fazia com as Suas Senhas
O pesquisador de seguranca Tom Jøran Rønning publicou uma prova de conceito demonstrando que o Microsoft Edge descriptografa todo o armazenamento de senhas salvas na inicializacao e mantem cada credencial como texto simples na memoria do processo durante toda a sessao de navegacao, independentemente de voce visitar esses sites ou usar o preenchimento automatico.
Nao e assim que outros navegadores baseados em Chromium lidam com os mesmos dados. O Chrome, por exemplo, so carrega uma senha em texto simples na memoria no momento em que o usuario solicita explicitamente visualiza-la no gerenciador de senhas ou quando o preenchimento automatico e acionado para aquela credencial especifica. O Edge fazia o oposto: descriptografava tudo de uma vez e deixava tudo na RAM.
A consequencia pratica: qualquer processo rodando com privilegios de administrador na sua maquina - malware, um aplicativo comprometido ou um atacante remoto com acesso elevado - poderia ler todas as senhas salvas ao escanear a memoria do processo do Edge. Sem necessidade de quebrar criptografia, sem necessidade de acessar o disco. Bastava ler o que o Edge ja havia decodificado.
A Defesa "By Design" da Microsoft - e o Recuo
Quando os achados de Rønning se tornaram publicos, a resposta inicial da Microsoft foi que o comportamento de manter senhas em texto simples na memoria era uma decisao de design deliberada. O raciocinio da empresa: essa abordagem acelera o preenchimento automatico e o login, e ler a memoria de outro processo ja requer uma maquina comprometida ou acesso elevado - um cenario que a Microsoft considerava fora do escopo da seguranca em nivel de navegador.
Esse argumento nao resistiu ao escrutinio publico. A logica da "maquina ja comprometida", as vezes chamada de "minimizacao apos violacao", e precisamente a razao pela qual a pesquisa de seguranca existe: uma vez que os atacantes estao na sua maquina, minimizar o que eles podem coletar importa enormemente. Deixar todas as senhas salvas descriptografadas na RAM durante toda a sessao e o oposto do controle de danos.
Sob pressao da comunidade de seguranca, a Microsoft reverteu sua posicao. A partir do Edge 148, o navegador nao mais pre-carregara todas as senhas armazenadas na memoria de forma nao criptografada. As credenciais passarao a seguir o mesmo modelo do Chrome: carregadas em texto simples na memoria apenas quando realmente necessarias.
Por Que Isso e Pior do Que a Microsoft Admitiu
O argumento de que "voce precisa de acesso de administrador de qualquer forma" ignora varios cenarios de ataque do mundo real onde senhas em texto simples na RAM representam um risco adicional significativo:
- Malware de varredura de memoria: Programas que roubam credenciais varrem rotineiramente a memoria dos processos do navegador. O design do Edge tornava isso trivialmente facil - nenhum trabalho de descriptografia necessario.
- Ataques entre processos: Certas classes de vulnerabilidades permitem que processos com privilegios mais baixos leiam a memoria de processos com privilegios mais altos, contornando as protecoes normais do sistema operacional.
- Analise forense de memoria em tempo real: Forcas de seguranca e atores adversariais que realizam analise de memoria ao vivo de uma maquina em execucao poderiam extrair todas as credenciais salvas sem jamais tocar no banco de dados criptografado no disco.
- Maquinas compartilhadas ou gerenciadas: Em ambientes corporativos, varios usuarios ou administradores de TI podem ter acesso a ferramentas de inspecao de memoria que poderiam expor credenciais da sessao de outro usuario.
A escala da exposicao tambem importa. O Edge e um dos navegadores mais usados do mundo, com centenas de milhoes de instalacoes em ambientes corporativos e de consumo. O gerenciador de senhas e uma funcionalidade central, nao um caso marginal. Uma falha de design nesse nivel afeta um numero enorme de usuarios que confiaram ao navegador o gerenciamento seguro de suas credenciais.
O Que Voce Deve Fazer Agora
Ate que o Edge 148 seja distribuido para o seu dispositivo, a janela de exposicao esta ativa. Aqui estao etapas concretas para reduzir seu risco:
- Verifique sua versao atual do Edge em edge://settings/help - se for inferior a 148, o problema esta presente.
- Remova senhas sensiveis do gerenciador de senhas integrado do Edge e migre-as para um aplicativo gerenciador de senhas independente. Gerenciadores independentes criptografam as credenciais em repouso e so as descriptografam na memoria no momento do uso.
- Ative as atualizacoes automaticas do Edge para que a versao 148 seja instalada assim que estiver disponivel no seu canal.
- Verifique se alguma conta de trabalho ou de administrador esta armazenada no Edge em maquinas compartilhadas ou gerenciadas pela empresa, onde outros usuarios ou a equipe de TI possam ter acesso a ferramentas de inspecao de memoria.
A licao mais ampla e de natureza arquitetonica. Os gerenciadores de senhas integrados ao navegador trocam um limite de seguranca significativo pela conveniencia. Quando um navegador mantem todas as credenciais descriptografadas na RAM, a criptografia que protege essas senhas no disco nao oferece nenhuma protecao contra qualquer atacante ou malware que alcance o processo em execucao. Um aplicativo gerenciador de senhas dedicado, por outro lado, opera com um espaco de memoria separado e um ciclo de vida de descriptografia rigorosamente controlado.
Este incidente tambem destaca a importancia da pesquisa de seguranca independente. A posicao inicial "by design" da Microsoft teria prevalecido indefinidamente sem um PoC publico que forcasse o problema a vir a tona. A capacidade da comunidade de seguranca de revisar, questionar e expor o comportamento de softwares amplamente implantados e uma verificacao critica sobre as decisoes dos fabricantes que afetam centenas de milhoes de usuarios.
