Microsoft Edge хранит все сохранённые пароли в оперативной памяти открытым текстом без шифрования

Норвежский исследователь обнаружил: при запуске Edge расшифровывает все пароли и помещает их в оперативную память в незашифрованном виде независимо от использования.

Ваши пароли в Microsoft Edge — под замком? Как бы не так. Норвежский исследователь безопасности под ником @L1v1ng0ffTh3L4N обнаружил серьёзную уязвимость в популярном браузере. При запуске Microsoft Edge расшифровывает абсолютно все сохранённые пароли и помещает их в оперативную память в открытом, незашифрованном виде. И это происходит вне зависимости от того, используются ли эти пароли в текущей сессии или просто лежат в хранилище.

Эксперт проверил другие браузеры на движке Chromium. Вывод: проблема уникальна именно для Edge. Google Chrome ведёт себя иначе — пароли расшифровываются только в момент реального использования: при автозаполнении формы или когда пользователь вручную открывает список сохранённых учётных данных.

В случае с Microsoft Edge все пароли оказываются доступными в памяти процесса целиком и остаются там до самого закрытия браузера. Это существенно упрощает жизнь злоумышленникам в случае атаки на устройство.

Самое любопытное: сам браузер при попытке пользователя визуально посмотреть пароль в интерфейсе всё равно запрашивает повторную аутентификацию (пароль учётной записи или биометрию). Это создаёт ложное ощущение дополнительной защиты, хотя на самом деле данные уже давно лежат в памяти в открытом виде.

Когда исследователь обратился в Microsoft, в компании подтвердили: такое поведение не является ошибкой или багом — оно полностью «задуманное» и укладывается в их модель угроз. Корпорация не считает атаки с физическим доступом к устройству приоритетным сценарием. Сейчас главная задача Microsoft — «очистка» браузера от лишних функций, а не доработка механизмов защиты паролей.