Een opvallende ontdekking rond Microsoft Edge zorgt voor gefronste wenkbrauwen in de securitywereld. Volgens een beveiligingsonderzoeker laadt de browser opgeslagen wachtwoorden in platte tekst in het geheugen zodra je Edge opstart. En dat gebeurt zelfs als je die gegevens op dat moment helemaal niet gebruikt.
Opmerkelijk: Microsoft lijkt het gedrag niet als een bug te zien, maar als een bewuste ontwerpkeuze. De ontdekking komt van onderzoeker Tom Jøran Sønstebyseter Rønning, die zijn bevindingen deelde samen met een proof-of-concept-tool. Die tool, ‘EdgeSavedPasswordsDumper’, toont hoe eenvoudig het kan zijn om opgeslagen logingegevens uit het geheugen van Edge te halen.
Concreet blijkt dat Edge bij het opstarten gebruikersnamen en wachtwoorden decodeert en tijdelijk in het RAM bewaart. Dat gebeurt in leesbare vorm, dus zonder extra versleuteling. Wie toegang heeft tot dat geheugen, bijvoorbeeld via een zogenaamde memory dump, kan die gegevens in theorie gewoon uitlezen.
Belangrijk: dit is geen lek dat je vanop afstand kan misbruiken. Een aanvaller moet al toegang hebben tot je systeem, en in de praktijk zelfs verhoogde rechten hebben om die geheugeninformatie te kunnen uitlezen. Toch maakt dat het probleem niet onschuldig. Zeker in omgevingen met meerdere gebruikers of gedeelde toestellen kan dit een risico vormen. Als iemand met administratorrechten toegang krijgt tot het systeem, kan die mogelijk ook de opgeslagen wachtwoorden van andere gebruikers bekijken. Dat maakt Edge gevoeliger voor aanvallen waarbij een systeem al gedeeltelijk gecompromitteerd is.
Volgens de onderzoeker gedragen andere Chromium-browsers zich anders. Zowel Google Chrome als Brave zouden wachtwoorden pas ontsleutelen wanneer dat nodig is, in plaats van ze continu in het geheugen te bewaren. Dat verkleint de duur waarin gevoelige gegevens zichtbaar zijn en maakt het moeilijker om ze zomaar uit het geheugen te halen. Dat wil niet zeggen dat die browsers perfect zijn, maar op dit vlak lijken ze wel een voorzichtiger aanpak te hanteren dan Edge.
Wat misschien nog het meest verbaast, is de reactie van Microsoft. Toen de onderzoeker zijn bevindingen meldde, zou het bedrijf aangegeven hebben dat dit gedrag ‘by design’ is. Een uitgebreide uitleg bleef voorlopig uit, maar het suggereert dat Microsoft deze aanpak bewust gekozen heeft, mogelijk om prestaties of gebruiksgemak te optimaliseren. Dat neemt niet weg dat security-experts vragen stellen bij die keuze, zeker omdat gevoelige data onnodig lang in het geheugen blijft hangen.
Voor de meeste gebruikers is er geen reden tot paniek, maar een paar basisregels blijven belangrijk. Gebruik waar mogelijk een aparte wachtwoordmanager in plaats van de ingebouwde browseropslag. Zorg er ook voor dat je pc goed beveiligd is en dat anderen geen toegang hebben tot je account, zeker met administratorrechten. Want zoals deze case nog maar eens aantoont: zodra iemand binnen raakt op je systeem, wordt het plots een pak makkelijker om ook je meest gevoelige gegevens te onderscheppen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
