Microsoft Edge è finito al centro di un acceso dibattito sulla sicurezza dopo che un ricercatore indipendente ha dimostrato come il browser possa caricare le password salvate direttamente nella memoria RAM in formato leggibile. La scoperta ha sollevato dubbi sulla gestione delle credenziali da parte del browser di Microsoft e acceso il confronto con altri software basati su Chromium, come Google Chrome e Brave.
A portare alla luce il comportamento è stato il ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning, che ha pubblicato una dimostrazione tecnica mostrando come sia possibile estrarre le password memorizzate in Edge attraverso un semplice dump della memoria del processo. Secondo il ricercatore, il problema non riguarda tanto la cifratura dei dati archiviati sul disco, quanto il modo in cui il browser li gestisce una volta avviato.
Le password vengono caricate tutte all’avvio
Nel video pubblicato da Rønning, Edge decritta tutte le credenziali salvate non appena il browser viene aperto, mantenendole residenti nella memoria RAM anche se l’utente non visita i siti associati a quelle password.
Secondo il ricercatore, si tratta di un comportamento diverso rispetto agli altri browser Chromium-based testati. In particolare, Google Chrome decritterebbe le credenziali solo nel momento necessario all’autocompletamento, eliminandole successivamente dalla memoria.
La differenza, apparentemente tecnica, può avere conseguenze importanti in caso di compromissione del sistema. Un malware con privilegi elevati potrebbe infatti leggere il contenuto della RAM e recuperare username e password senza dover violare ulteriormente il database cifrato del browser. “Edge è l’unico browser Chromium che ho testato a comportarsi in questo modo”, ha spiegato il ricercatore.
Microsoft minimizza: “Serve un PC già compromesso”
Microsoft ha risposto alle accuse difendendo l’attuale implementazione di Edge. L’azienda sostiene che l’attacco descritto richiede già il controllo del dispositivo da parte di un aggressore, ad esempio tramite malware o accesso amministrativo locale.
Secondo Redmond, il caricamento delle password in memoria rappresenta una scelta progettuale legata all’equilibrio tra prestazioni, usabilità e sicurezza. Il browser mantiene i dati pronti all’uso per garantire accessi rapidi e funzionalità di compilazione automatica immediate.
L’azienda ha inoltre ricordato agli utenti l’importanza di mantenere Windows aggiornato e utilizzare software antivirus attivi per ridurre il rischio di infezioni malware.
La posizione di Microsoft però non ha convinto molti esperti di cybersicurezza, soprattutto perché il problema sembra evitabile adottando la strategia già utilizzata da Chrome.
I rischi negli ambienti aziendali
Il tema diventa ancora più delicato negli ambienti enterprise e nei terminal server Windows condivisi. Nel test mostrato da Rønning, un account con privilegi amministrativi è riuscito ad accedere alle password di più utenti connessi alla stessa macchina.
In contesti aziendali, dove più sessioni possono convivere sullo stesso server, questo approccio potrebbe aumentare la superficie d’attacco in caso di compromissione interna.
Anche il collettivo Vx Underground, noto archivio dedicato al malware research, ha commentato la vicenda sottolineando che un malware potrebbe sfruttare facilmente il comportamento di Edge sui PC domestici. Tuttavia, gli esperti precisano che nelle reti enterprise moderne un’operazione simile verrebbe probabilmente intercettata dai sistemi di sicurezza e monitoraggio.
La replica indipendente conferma il problema
Le conclusioni del ricercatore sono state successivamente replicate anche da Rob VandenBrink, altro esperto di sicurezza informatica. Utilizzando la funzione “Create Memory Dump” del Task Manager di Windows mentre Edge era aperto, VandenBrink è riuscito a trovare le password salvate all’interno del file dump generato.
Anche in questo caso resta necessario l’accesso locale al PC, ma la replica indipendente rafforza la credibilità della scoperta e aumenta la pressione su Microsoft affinché modifichi il comportamento del browser.
La vicenda riapre così un tema sempre più centrale nel settore cybersecurity: la protezione delle credenziali direttamente in memoria, soprattutto in un’epoca in cui malware infostealer e attacchi post-compromissione stanno diventando sempre più sofisticati.
