Leggi in app
I produttori di browser incoraggiano gli utenti a memorizzare le password all’interno delle loro applicazioni, poiché ciò risulta più pratico, rapido e integrato. Microsoft Edge non fa eccezione e sfrutta le password per semplificare le procedure di accesso ai siti web, completando automaticamente i campi e gestendo centralmente le credenziali.
Tuttavia, queste comodità comportano dei rischi e, nel caso di Microsoft Edge, il ricercatore norvegese Tom Jøran Sønstebyseter Rønning ha evidenziato come Edge memorizzi nella RAM del computer tutte le password salvate dall’utente nel tempo. Non solo quelle necessarie per la sessione web attuale, ma tutte le password, tutte leggibili senza cifratura, almeno finché il browser rimane aperto.
Il ricercatore norvegese ha quindi messo in evidenza l’importanza della gestione delle credenziali d’accesso, proprio in concomitanza con il World Password Day, che dal 2013 si celebra il primo giovedì di maggio (quest’anno il 7 maggio).
Microsoft Edge e le password in chiaro
Edge risulta essere l’unico browser Chromium – progetto open source sviluppato principalmente da Google – che il ricercatore ha testato e che carica tutte le password simultaneamente nella memoria del sistema.
Altri browser, come Chrome, tendono invece a decriptare le credenziali solo quando sono effettivamente necessarie, ad esempio durante l’autocompletamento di un login.
Dal punto di vista tecnico, la situazione è meno allarmante di quanto possa apparire a una prima analisi, ma rimane seria. Le password memorizzate in Edge sono cifrate quando vengono salvate sul disco utilizzando i meccanismi di protezione di Windows.
Il problema si presenta quando il browser Edge è in esecuzione: le credenziali vengono decriptate e conservate nella memoria volatile. Questo implica che un malware locale, un infostealer (software malevolo che raccoglie informazioni sensibili dal dispositivo della vittima), o un attaccante con accesso al sistema potrebbero recuperarle tramite quello che in gergo tecnico è definito “dump della RAM”, ovvero una copia completa o parziale dei dati presenti nella memoria volatile del computer in un dato momento, utilizzata per analisi diagnostiche o per estrarre informazioni sensibili, incluse le password.
Il reale pericolo
Il problema non è tanto la possibilità di rubare password, quanto la diminuzione della difficoltà necessaria per farlo. Un malware progettato per estrarre credenziali opera molto più efficacemente se trova già le password decriptate nella RAM.
In sostanza, Edge trasformerebbe la memoria del browser in una sorta di archivio temporaneo facilmente sfruttabile da strumenti di credential dumping capaci di estrarre dati dalla memoria volatile.
In questo contesto, gli infostealer, una categoria di malware sempre più diffusa, mirano al furto di account, cookie, wallet crypto e credenziali del browser. La questione è particolarmente rilevante poiché si verifica in un periodo in cui il furto di credenziali è diventato uno dei principali metodi di guadagno per i cyber criminali.
Molti attacchi ransomware moderni iniziano proprio con credenziali rubate tramite malware leggeri installati sui computer delle vittime. In questo scenario, ogni meccanismo che facilita l’estrazione delle password viene monitorato con grande attenzione dalla comunità della sicurezza.
Per l’utente medio, il rischio reale dipende principalmente dal livello di esposizione del sistema. Un computer ben aggiornato, privo di malware e con normali pratiche di sicurezza non diventa improvvisamente vulnerabile solo perché Edge carica le password in chiaro nella RAM.
Non si tratta di una vulnerabilità remota sfruttabile visitando un sito web qualsiasi. È comunque necessario un accesso locale o l’esecuzione di codice malevolo sul dispositivo.
Tuttavia, in ambienti aziendali dove un computer è utilizzato da più persone, nelle sessioni di collegamento remoto ai server o nel caso di dispositivi già compromessi, la scelta di Microsoft potrebbe comportare problemi significativi.
Come rimediare
La soluzione più immediata e ovvia sarebbe quella di non utilizzare Microsoft Edge, una scelta più semplice per gli utenti singoli e meno scontata in ambito aziendale, dove le politiche e l’uso di applicazioni web potrebbero rendere difficile l’adozione di un browser alternativo.
In realtà, indipendentemente dal browser utilizzato, è consigliabile non utilizzare i password manager integrati ma affidarsi a soluzioni esterne, progettate per ridurre l’esposizione delle credenziali.
Tra i più noti ci sono Bitwarden, 1Password e Proton Pass. In generale, la differenza tra questi strumenti e i password manager integrati nei browser risiede nella loro progettazione, che è stata concepita anche per garantire che le password non rimangano nella RAM più a lungo del necessario.
È importante sottolineare che nessun software è da considerarsi inespugnabile e il rischio aumenta se utilizzato su dispositivi già compromessi. Tuttavia, uno studio del 2024 ha dimostrato che diversi password manager esterni presentano problemi simili a quelli di Microsoft Edge.
La soluzione migliore è quella di adottare sistemi di autenticazione a più fattori, i quali, tipicamente, durante l’accesso a una risorsa web o locale, richiedono oltre alla password un codice supplementare inviato via sms, email o generato da un dispositivo fisico.
La posizione di Microsoft
Microsoft afferma che la decisione di caricare nella RAM tutte le password in chiaro, ovvero leggibili senza filtri, è il risultato di una politica “by design”, cioè una caratteristica di un software che non rappresenta né un bug né un’anomalia. Secondo il colosso di Redmond, se un attaccante è in grado di leggere la RAM di un dispositivo è perché il sistema è già compromesso.
Questa posizione sembra essere solo parzialmente difendibile, poiché uno dei principi della cyber security richiede la “defense in depth”, una politica secondo la quale anche in caso di compromissione, un software dovrebbe cercare di minimizzare l’esposizione dei dati sensibili.
Va inoltre menzionato un paradosso: utilizzando Edge, gli utenti devono autenticarsi per visualizzare una password salvata, il che trasmette una sensazione di sicurezza, mentre, in realtà, quelle stesse password sono già caricate nella RAM e quindi potenzialmente accessibili a terzi.