Microsoft Edge tüm şifreleri bellekte tutuyormuş
Güvenlik

Microsoft Edge tüm şifreleri bellekte tutuyormuş

Tarayıcı açıldığı an şifreleri korumasız bırakıyor, Microsoft ise “tasarım gereği” diyor…

Siber güvenlik dünyası, Microsoft Edge tarayıcısında keşfedilen ve özellikle kurumsal kullanıcıları dehşete düşüren devasa bir gizlilik ihlaliyle çalkalanıyor. Tom Jøran Sønstebyseter Rønning isimli bir güvenlik araştırmacısı, Edge’in başlatıldığı anda kaydedilmiş tüm şifrelerin şifrelemesini kaldırarak işlem belleğinde “şifresiz metin” (cleartext) olarak tuttuğunu ortaya çıkardı.

BigBiteOfTech etkinliğinde sunulan ve sosyal medyada hızla yayılan bu bulguya göre; kullanıcılar şifrelerin kayıtlı olduğu web sitelerini ziyaret etmese bile, tüm kimlik bilgileri oturum açık kaldığı sürece bellekte tamamen savunmasız bir şekilde bekliyor.

Chrome ile Edge arasındaki güvenlik uçurumu

Sektördeki diğer Chromium tabanlı rakipleriyle kıyaslandığında Edge’in bu davranışı benzersiz ve oldukça tehlikeli bir eksiklik olarak öne çıkıyor. Örneğin Google Chrome, şifreleri yalnızca ihtiyaç duyulduğu anlarda çözüyor ve şifre çözme anahtarlarını kimliği doğrulanmış bir tarayıcı işlemine bağlayan “Uygulamaya Bağlı Şifreleme” (App-Bound Encryption) yöntemiyle yetkisiz erişimleri engelliyor.

Edge’in bu temel korumalardan yoksun olması sektör profesyonellerinden büyük tepki toplarken, Microsoft cephesinden gelen açıklama şaşkınlık yarattı. Şirket, bu durumun düzeltilmesi gereken bir hata olmadığını, tamamen “tasarım gereği” (by design) olduğunu savundu. Microsoft’un güvenlik belgeleri, doğrudan cihazın kendisini hedef alan yerel saldırıların ve kötü amaçlı yazılımların tarayıcının “tehdit modeli” dışında kaldığını öne sürüyor.

Ortak cihazlar ve kurumsal ağlar için devasa tehdit

Microsoft’un bir güvenlik zafiyetinden ziyade bilinçli bir “tasarım tercihi” olarak nitelendirdiği bu durum, özellikle terminal sunucuları, sanal masaüstü altyapıları (VDI) ve çok kullanıcılı (ortak) sistemler kullanan işletmeler için büyük bir risk barındırıyor. Etkinlikte sergilenen bir kavram kanıtı (proof-of-concept), yönetici yetkilerine (admin) sahip bir saldırganın veya kötü niyetli bir yazılımın, aynı cihazda oturum açmış diğer tüm kullanıcıların Edge işlem belleğine sızarak şifrelerini kolayca çalabileceğini kanıtladı.

Üstelik tarayıcı, ayarlar menüsünde şifreleri görünür kılmadan önce kullanıcılardan ek bir kimlik doğrulaması (PIN veya biyometrik) istese de, bu şifrelerin arka planda zaten bellekte açıkça duruyor olması bu güvenlik adımını tamamen anlamsız kılıyor.