Microsoft Edge lascia le password in chiaro nella memoria: allarme sicurezza
Una vulnerabilità in Edge espone tutte le password salvate in chiaro durante ogni sessione, sollevando preoccupazioni tra gli esperti.
Un recente studio ha rivelato che Microsoft Edge carica e mantiene tutte le password salvate in cleartext nella memoria del dispositivo per l'intera durata della sessione. Questa caratteristica, secondo Microsoft, sarebbe intenzionale, pensata per velocizzare il login degli utenti.
L'indagine, condotta dal ricercatore Tom Rønning, evidenzia come Edge – pur basandosi sullo stesso framework Chromium di altri browser come Chrome – gestisca le password in modo meno sicuro. A differenza di Chrome, che decritta le password solo al momento dell'autofill e impiega la Application-Bound Encryption per legare le chiavi di decrittazione ai processi autenticati, Edge carica tutte le credenziali all'avvio lasciandole in memoria in chiaro.
Microsoft ha risposto affermando che per sfruttare questa vulnerabilità sarebbe necessario l'accesso amministrativo alla macchina. Tuttavia, gli esperti di cybersecurity sottolineano che molte minacce moderne mirano proprio alla fase in cui le password, pur cifrate su disco, risultano esposte in memoria.
Le raccomandazioni convergono: è preferibile affidarsi a un password manager dedicato piuttosto che salvare le credenziali direttamente nel browser.
