Microsoftin Edge-selain on joutunut rajun tietoturvakritiikin kohteeksi, kun norjalainen tietoturvatutkija Tom Jøran Sønstebyseter Rønning paljasti selaimen säilyttävän tallennetut salasanat selväkielisinä RAM-muistissa. Käytännössä tämä tarkoittaa, että järjestelmään päässyt hyökkääjä voi lukea käyttäjän tallennetut tunnukset suoraan muistista.
Rønning julkaisi GitHubissa myös proof-of-concept-työkalun, jolla kuka tahansa voi testata löydöksen itse. Hänen mukaansa ongelma on erityisen vakava jaetuissa ympäristöissä kuten terminalipalvelimissa, joissa useat käyttäjät käyttävät samaa järjestelmää.
– Microsoft on päättänyt pitää kaikki salasanat jatkuvasti selväkielisinä muistissa riippumatta siitä, tarvitaanko niitä vai ei. Mielestäni tämä on huono idea, Rønning kommentoi ITavisenille.
Tutkija raportoi löydöksen Microsoftille, mutta yhtiö ei pidä toimintaa tietoturva-aukona. Microsoftin mukaan tilanteet, joissa hyökkääjällä on jo järjestelmänvalvojan oikeudet, eivät lähtökohtaisesti riko tietoturvarajoja eivätkä siksi kuulu korjattaviin haavoittuvuuksiin.
Rønning pitää perustelua vaarallisena ajattelutapana. – Tämä on kuin jättäisi ulko-oven lukitsematta siksi, että murtovaras voi kuitenkin rikkoa ikkunan. Vaikka täydellistä suojaa ei ole, hyökkäyksestä pitäisi tehdä mahdollisimman vaikeaa.
Erityisen kiusalliseksi tilanteen tekee se, että Googlen Google Chrome toimii eri tavalla, vaikka myös se perustuu Chromium-selaimeen. Chromessa käytetään Application Based Encryption (ABE) -suojausta, joka vaikeuttaa muistista tehtäviä tunnusvarkauksia merkittävästi.
Rønningin mukaan on vaikea ymmärtää, miksi Microsoft ei ole toteuttanut Edgeen vastaavaa suojausmekanismia.
Löydös osuu hankalaan aikaan myös siksi, että Microsoft on viime kuukausina voimakkaasti markkinoinut salasanatonta tunnistautumista ja passkey-ratkaisuja turvallisempana vaihtoehtona perinteisille salasanoille.
Toistaiseksi Microsoft ei ole ilmoittanut muuttavansa Edge-selaimen toimintaa.
