Хранение паролей Microsoft Edge в открытом тексте в памяти процесса долгое время оставалось незаметной, но крайне опасной реальностью для пользователей одного из самых популярных браузеров. Когда исследователь безопасности опубликовал доказательство этой уязвимости, первым ответом Microsoft стало заявление о том, что поведение является «намеренным». Компания изменила позицию лишь под давлением общественности, анонсировав, что Edge 148 изменит механизм работы с учётными данными в памяти. Этот случай наглядно показывает, почему встроенные менеджеры паролей браузеров не являются тем защищённым хранилищем, которым кажутся большинству пользователей.
Что Edge делал с вашими паролями
Исследователь безопасности Том Йёран Рённинг опубликовал proof-of-concept, демонстрирующий следующее: Microsoft Edge расшифровывает всё хранилище сохранённых паролей при запуске и держит каждый из них в памяти процесса в открытом виде - на всё время сеанса работы браузера, независимо от того, посещаете ли вы соответствующие сайты и используете ли функцию автозаполнения.
Это принципиально отличается от подхода других браузеров на базе Chromium. Chrome, например, загружает пароль в память в открытом виде только в тот момент, когда пользователь явно запрашивает его просмотр в менеджере паролей или когда срабатывает автозаполнение для конкретного поля. Edge делал обратное: расшифровывал всё хранилище сразу и оставлял данные в оперативной памяти.
Практическое следствие: любой процесс с правами администратора - вредоносная программа, скомпрометированное приложение или удалённый злоумышленник с повышенными привилегиями - мог прочитать все сохранённые пароли, просто сканируя память процесса Edge. Взламывать шифрование не нужно. Читать файлы с диска не нужно. Достаточно прочитать то, что Edge уже расшифровал за вас.
Защита «по замыслу» - и последующее отступление Microsoft
Когда результаты исследования Рённинга стали публичными, первоначальная реакция Microsoft сводилась к тому, что поведение с хранением паролей в открытом виде является намеренным проектным решением. Аргументация компании: этот подход ускоряет автозаполнение, а чтение памяти чужого процесса и так требует скомпрометированной машины или повышенных прав - сценарий, который Microsoft считает выходящим за рамки ответственности браузера.
Этот аргумент не выдержал публичной проверки. Логика «машина уже скомпрометирована» - именно та причина, по которой существуют исследования безопасности: когда злоумышленники проникают на устройство, минимизация того, что они могут похитить, имеет огромное значение. Оставлять все сохранённые пароли расшифрованными в памяти на весь сеанс - это противоположность контролю ущерба.
Под давлением профессионального сообщества Microsoft изменила свою позицию. Начиная с версии Edge 148, браузер больше не будет предварительно загружать все сохранённые пароли в память в незашифрованном виде. Вместо этого учётные данные будут следовать той же модели, что и Chrome: загружаться в открытом виде только тогда, когда они действительно необходимы.
Почему это опаснее, чем признала Microsoft
Аргумент «для этого всё равно нужны права администратора» игнорирует несколько реальных сценариев атак, в которых пароли в открытом виде в памяти представляют существенный дополнительный риск:
- Вредоносные стилеры паролей: Программы для кражи учётных данных регулярно сканируют память процессов браузеров. Поведение Edge делало это тривиально простым - никакой работы по расшифровке не требовалось.
- Межпроцессные атаки: Определённые классы уязвимостей позволяют процессам с более низкими привилегиями читать память процессов с более высокими привилегиями, обходя стандартные защиты ОС.
- Форензика живой памяти: Правоохранительные органы и другие акторы, анализирующие оперативную память работающей машины, могли извлечь все сохранённые учётные данные, не трогая зашифрованную базу данных на диске.
- Общие и корпоративные машины: В корпоративных средах несколько пользователей или системных администраторов могут иметь доступ к инструментам анализа памяти, позволяющим получить учётные данные из сеанса другого пользователя.
Масштаб проблемы тоже важен. Edge - один из самых популярных браузеров в мире с сотнями миллионов установок в потребительских и корпоративных средах. Менеджер паролей является базовой функцией, а не нишевой возможностью. Проектный изъян такого уровня затрагивает огромное число пользователей, доверивших браузеру безопасное хранение своих учётных данных.
Что делать прямо сейчас
Пока Edge 148 не установлен на вашем устройстве, риск остаётся реальным. Вот конкретные шаги:
- Проверьте текущую версию Edge по адресу edge://settings/help - если она ниже 148, проблема актуальна.
- Удалите важные пароли из встроенного менеджера Edge и перенесите их в отдельное приложение для управления паролями.
- Включите автоматическое обновление Edge, чтобы версия 148 установилась, как только станет доступной.
- Проверьте, не хранятся ли рабочие или административные аккаунты в Edge на общих или корпоративных машинах, где другие пользователи или IT-сотрудники могут иметь доступ к инструментам анализа памяти.
Более широкий урок носит архитектурный характер. Встроенные менеджеры паролей браузеров жертвуют значимой границей безопасности ради удобства. Когда браузер держит все учётные данные расшифрованными в памяти, шифрование на диске не защищает от злоумышленника, получившего доступ к запущенному процессу. Отдельное приложение для управления паролями, напротив, работает в изолированном адресном пространстве с жёстко контролируемым жизненным циклом расшифровки.
Этот инцидент также подчёркивает ценность независимых исследований безопасности. Изначальная позиция Microsoft оставалась бы актуальной неограниченно долго без публичного proof-of-concept, вынудившего компанию признать проблему. Способность профессионального сообщества проверять, оспаривать и раскрывать поведение повсеместно используемого программного обеспечения - критически важный механизм контроля над решениями производителей, затрагивающими сотни миллионов пользователей.
