Исследователь показал, что Microsoft Edge держит сохранённые пароли в открытом виде в памяти процесса

Исследователь безопасности Rønning опубликовал на GitHub инструмент EdgeSavedPasswordsDumper и сопроводил его видеодемонстрацией, в которой показывает процедуру извлечения паролей из памяти запущенного процесса Microsoft Edge. Согласно демонстрации, встроенный менеджер паролей в Edge при старте браузера дешифрует сохранённые учётные записи и делает их доступными в оперативной памяти в открытом виде (plaintext). По результатам теста Rønning выяснил, что браузер сохраняет эти расшифрованные креденшелы resident в процессе Edge даже в тех случаях, когда пользователь ни разу не посещал сайты, связанные с этими учётными записями. При этом интерфейс менеджера паролей продолжает запрашивать повторную аутентификацию перед показом пароля в пользовательском интерфейсе, но в памяти процесса пароли уже присутствуют в открытом виде.

Rønning подчеркнул различие в поведении между тестируемыми Chromium‑браузерами: по его наблюдениям, только Edge действует описанным образом. В Google Chrome, как указал исследователь, сохранённые креденшелы дешифруются только по запросу и не удерживаются постоянно в памяти, что делает простое чтение ОЗУ менее эффективным для массового извлечения паролей. На текущий момент эта модель уязвимости выглядит специфичной для Microsoft Password Manager в Edge.

В ответ на публикацию Microsoft подтвердила наличие описанного поведения, назвав его ожидаемой функцией и отметив, что доступ к данным в памяти в рассматриваемом сценарии потребует уже скомпрометированного устройства. Компания объяснила, что такие проектные решения отражают баланс между производительностью, удобством и безопасностью, рекомендовала пользователям поддерживать системы в актуальном состоянии и использовать антивирусное ПО, а также заявила о намерении пересмотреть подход с учётом изменения ландшафта угроз.

Практические выводы для разработчиков и администраторов ясны: хранение расшифрованных паролей в оперативной памяти повышает риск при локальной компрометации устройства, поскольку злоумышленник с доступом к памяти (например, через учётную запись с административными правами) сможет извлечь эти данные. В обсуждении под постом и в репозитории предложены меры: держать креденшелы в памяти зашифрованными, дешифровать их только по необходимости и немедленно затирать после использования. Публичный код EdgeSavedPasswordsDumper даёт воспроизводимый тестовый кейс для оценки риска на реальных устройствах.