Uma descoberta feita pelo pesquisador norueguês Tom Jøran Sønstebyseter Rønning acendeu um alerta vermelho para quem usa o Microsoft Edge como gerenciador de senhas. Segundo o especialista, o navegador mantém todas as credenciais descriptografadas na memória do processo logo após a inicialização — mesmo que o usuário não acesse nenhum site naquele momento. Em uma máquina compartilhada (no escritório ou em um LAN house, por exemplo), esse detalhe basta para que um invasor com malware ou acesso físico leia logins e senhas em texto puro.
O que exatamente foi descoberto?
• No primeiro uso, o Edge descriptografa cada senha salva e a mantém na RAM.
• As credenciais ficam ali até o navegador ser totalmente encerrado.
• Mesmo após fechar e reabrir o Edge, a senha continua aparecendo em texto puro na memória, como comprovou o site alemão Heise.de.
“Funciona assim por design”, diz a Microsoft
Rønning relatou a falha à Microsoft e, segundo o portal norueguês Itavisen.no, a empresa respondeu que o comportamento “é esperado”. A justificativa não convenceu especialistas. Para David Shipley, CEO da Beauceron Security, tratar a vulnerabilidade como “funcionalidade” é abrir as portas para cibercriminosos: “É o mesmo que entregar um cheque em branco para info-stealers”.
Outros navegadores fazem diferente
O Google Chrome adota o mecanismo App Bound Encryption, indicado pela indústria de segurança. Nesse modelo, os dados ficam criptografados no disco e só são descriptografados quando solicitados pelo site específico, não permanecendo em RAM em texto puro. Já o Edge exige muito menos habilidade técnica do invasor: basta varrer a memória.
Por que isso importa para você?
Se você faz compras online, gerencia criptomoedas ou mesmo participa de partidas competitivas em jogos que exigem login de terceiros (Steam, Epic, Battle.net), ter as senhas expostas pode significar desde contas roubadas até perdas financeiras significativas. Para empresas, o cenário piora: um desktop compartilhado por vários funcionários vira ponto de coleta para ransomware ou fraudes de phishing.
Como mitigar o problema agora
1. Use um gerenciador de senhas dedicado (Bitwarden, 1Password, Dashlane). Eles criptografam localmente e só liberam a chave quando necessário.
2. Ative autenticação de dois fatores. Chaves de segurança físicas como YubiKey adicionam uma camada que não depende do navegador.
3. Feche totalmente o Edge pelo Gerenciador de Tarefas após o uso — e reinicie o PC se for compartilhar a máquina.
4. Aplique atualizações do navegador e do Windows assim que disponíveis; a Microsoft pode rever o design após a repercussão negativa.
5. Considere mudar de navegador até que o Edge ofereça criptografia em memória similar à do Chrome ou Firefox.
Imagem: Maxwell Cooter
Impacto nos produtos de segurança
Para quem já investe em hardware de ponta — placas de vídeo de última geração, teclados mecânicos e mouses gamer — vale lembrar que segurança digital é parte do setup. Sem ela, o alto desempenho do seu PC não impede que contas sejam comprometidas e jogos, itens ou skins sejam perdidos.
Rønning pretende publicar em breve uma ferramenta de código aberto no GitHub para que qualquer usuário comprove a falha por conta própria. Até lá, a recomendação unânime dos especialistas é simples: mantenha suas senhas longe do gerenciador nativo do Edge.
Com informações de Computerworld
