Um investigador de segurança revelou uma vulnerabilidade alarmante no Microsoft Edge: o navegador carrega todas as palavras-passe armazenadas pelo utilizador em texto simples – – plaintext. Isto, na memória do sistema operativo logo ao arrancar. Tal significa que qualquer malware com acesso à memória pode extrair todas as credenciais do utilizador sem qualquer esforço de desencriptação.
A descoberta seria preocupante por si só, mas tornou-se verdadeiramente escandalosa quando a Microsoft respondeu essencialmente dizendo aos utilizadores para “não se preocuparem”.
Microsoft Edge poderá expor as tuas passwords?
De facto, a resposta da Microsoft é o aspeto mais perturbador desta história. Além disso, a empresa argumentou que, se um atacante já tem acesso suficiente ao sistema para ler a memória, o utilizador tem problemas maiores do que palavras-passe em texto simples. Este raciocínio, embora tecnicamente não esteja errado, é profundamente irresponsável.
É o equivalente a um banco argumentar que não precisa de cofre porque, se um ladrão já entrou no edifício, as fechaduras são irrelevantes. Todavia, qualquer profissional de segurança sabe que a defesa em profundidade (múltiplas camadas de proteção) é o princípio fundamental da cibersegurança.
Neste sentido, armazenar palavras-passe em plaintext na memória viola este princípio de forma flagrante. Mesmo que um atacante consiga acesso à memória do sistema, as palavras-passe deveriam estar encriptadas, obrigando a um passo adicional de desencriptação que muitos tipos de malware não conseguiriam executar. Ao deixar as credenciais em texto simples, o Edge transforma um ataque sofisticado num exercício trivial de leitura de memória.
E agora, o que fazer?
Consequentemente, a questão vai para lá desta vulnerabilidade específica. A atitude da Microsoft revela um problema sistémico na forma como as grandes empresas tecnológicas tratam as vulnerabilidades de segurança reportadas por investigadores independentes. Em vez de agradecer a descoberta e comprometer-se com uma correção urgente, a empresa minimizou o problema e transferiu implicitamente a responsabilidade para o utilizador.
Sobretudo, esta postura é inconsistente com a própria mensagem da Microsoft sobre segurança. Uma empresa que promove o Windows como plataforma segura não pode simultaneamente desvalorizar uma vulnerabilidade que expõe todas as palavras-passe dos seus utilizadores.
Em suma, os utilizadores do Microsoft Edge que guardam palavras-passe no navegador deveriam considerar seriamente alternativas dedicadas como gestores de palavras-passe independentes. A confiança é difícil de conquistar e fácil de perder, e a resposta despreocupada da Microsoft a esta vulnerabilidade danifica seriamente a credibilidade do Edge como navegador seguro.
Fica ainda mais conectado:
- Activision – Fim da linha para Call of Duty: MW4 na consola icónica
- ChatGPT em declínio assusta OpenAI e investidores
- NVIDIA e rivais crescem a olhos vistos com IA
