एज ब्राउज़र को सभी पासवर्ड को मेमोरी में स्पष्ट टेक्स्ट में लोड करने के लिए उजागर किया गया था। माइक्रोसॉफ्ट ने कहा कि इसे "इस तरह से डिज़ाइन किया गया था"

एक साइबर सुरक्षा शोधकर्ता ने एक प्रूफ-ऑफ-कॉन्सेप्ट टूल जारी किया है जो माइक्रोसॉफ्ट एज द्वारा सहेजे गए पासवर्ड को संभालने में सुरक्षा जोखिमों को प्रदर्शित करता है। शोधकर्ता, जो इंटरनेट पर टॉम जोरान सोंस्टेबीसेटर रोनिंग के नाम से जाना जाता है, ने एक्स सहित सामाजिक प्लेटफार्मों पर अपने निष्कर्ष साझा किए और एक पूर्ण प्रदर्शन दिया।

उनके अनुसार, ब्राउज़र शुरू होने पर Microsoft Edge उपयोगकर्ता के सहेजे गए खाते के पासवर्ड को स्पष्ट टेक्स्ट में सिस्टम मेमोरी में लोड करेगा, भले ही ये क्रेडेंशियल वर्तमान में उपयोग नहीं किए गए हों। इससे भी अधिक दिलचस्प बात यह है कि ब्राउज़र उपयोगकर्ता को फिर से लॉग इन करने के लिए कहता रहता है, तब भी जब सभी पासवर्ड असुरक्षित रूप में मेमोरी में रहते हैं।

इस व्यवहार को अधिक सहजता से चित्रित करने के लिए, शोधकर्ताओं ने GitHub पर "एजसेव्डपासवर्डडम्पर" नामक एक टूल जारी किया। प्रोजेक्ट को एक शैक्षिक उपयोगिता के रूप में तैनात किया गया है, जिसे सुरक्षा पेशेवरों और आम उपयोगकर्ताओं को यह सत्यापित करने में मदद करने के लिए डिज़ाइन किया गया है कि ब्राउज़र वातावरण में सहेजे गए क्रेडेंशियल कैसे प्रबंधित किए जाते हैं। उपकरण उपयोगकर्ता नाम और पासवर्ड निकालने के लिए ब्राउज़र की प्रक्रिया मेमोरी तक पहुंचता है जो मानव-पठनीय रूप में हो सकते हैं।

अनुसंधान से पता चलता है कि माइक्रोसॉफ्ट एज की मूल प्रक्रिया इन डिक्रिप्टेड क्रेडेंशियल्स को बनाए रखती है, जिससे एक हमलावर को पर्याप्त सिस्टम विशेषाधिकार प्राप्त होने पर यह प्रक्रिया पासवर्ड निष्कर्षण के लिए एक संभावित लक्ष्य बन जाती है। साझा खाते या बहु-उपयोगकर्ता वातावरण चलाने वाले संगठनों के लिए यह जोखिम विशेष रूप से तीव्र है, क्योंकि व्यवस्थापक विशेषाधिकारों के साथ एक खाते का समझौता एक हमलावर को कई सक्रिय सत्रों में डेटा तक पहुंचने की अनुमति देगा।

यह बताया जाना चाहिए कि यह तकनीक स्वयं एक दूरस्थ हमले की विधि का गठन नहीं करती है, लेकिन उस परिदृश्य में जहां हमलावर ने उच्च-विशेषाधिकार प्राप्त पहुंच प्राप्त की है, यह आगे पार्श्व आंदोलन या संवेदनशील जानकारी चुराने के लिए एक हथियार बन जाता है। इस मामले में, सामान्य प्रबंधन टूल के माध्यम से मेमोरी डंप जैसे ऑपरेशन इसमें संग्रहीत लॉगिन जानकारी को लीक कर सकते हैं।

शोधकर्ताओं के परीक्षण में यह भी पाया गया कि यह समस्या एक एज-विशिष्ट व्यवहार प्रतीत होती है, और Google Chrome और Brave जैसे अन्य क्रोमियम-आधारित ब्राउज़रों में समान पैटर्न नहीं देखा जाता है। उत्तरार्द्ध आम तौर पर केवल जरूरत पड़ने पर क्रेडेंशियल्स को डिक्रिप्ट करता है, उन्हें लंबे समय तक स्मृति में स्पष्ट पाठ में रखे बिना। हालाँकि, इसका मतलब यह नहीं है कि क्रोम छिपे हुए खतरों से पूरी तरह मुक्त है। उदाहरण के लिए, पिछली रिपोर्टों में बताया गया था कि ब्राउज़र फिंगरप्रिंट सुरक्षा की महत्वपूर्ण गोपनीयता सुविधा में क्रोम एज, फ़ायरफ़ॉक्स और ब्रेव जैसे उत्पादों से पीछे है।

इससे भी अधिक भ्रमित करने वाली बात यह है कि जब शोधकर्ताओं ने Microsoft को इस मुद्दे के बारे में सूचित करने का प्रयास किया, तो Microsoft ने स्पष्ट रूप से व्यवहार को "डिज़ाइन द्वारा काम करना" के रूप में वर्गीकृत किया। इस कथन के अलावा, Microsoft कोई और प्रतिक्रिया या स्पष्टीकरण प्रदान नहीं करता दिखाई दिया।