Edge浏览器会泄露用户所有密码？

5月6日消息，近日，一名挪威安全研究员曝出重大安全问题。微软Edge浏览器被发现会将用户保存的所有密码，以明文形式存放在进程内存中，带来极高的账号信息泄露风险。

该研究员是渗透测试领域专家，网名Tom Jøran Sønstebyseter Rønning。他在测试147.0.3912.98版本Edge浏览器时发现，软件启动瞬间就会解密用户全部已保存密码。这些密码全程以明文形式驻留在内存中，即使用户全程未访问需要相关登录信息的网站，也不会被清除。

这一行为在主流浏览器中极为罕见。在他测试的所有基于Chromium内核的浏览器里，Edge是唯一采取该设计的产品。同为Chromium内核的谷歌Chrome浏览器，仅在自动填充或用户主动查看时，才会解密对应单条密码，使用后立即清除明文数据。

Chrome还配套了应用绑定加密技术，将解密操作与认证后的浏览器进程绑定，大幅提升攻击门槛。

Edge的设计让密码防护形同虚设。即便浏览器在密码管理界面要求用户重新认证才能查看密码，也无法阻止攻击者通过读取内存获取全部明文密码。只需获取设备本地访问权限，攻击者通过简单的内存转储操作，就能批量窃取用户所有账号密码。在共享终端服务器等场景中，攻击者甚至能读取其他已登录用户、断开连接但仍保留活跃会话用户的密码数据。

该研究员已将问题上报给微软。微软明确回应，这一行为是刻意的设计决策，并非程序漏洞。微软称，该设计是为了优化用户登录时的性能体验，属于预期内的功能。

对于相关安全风险，微软表示，攻击成立的前提是设备已被入侵，建议用户及时更新系统补丁、规避恶意程序。

目前，该研究员已公开相关概念验证演示。他还计划在GitHub发布检测工具，供普通用户自查风险。

业内安全人士建议，Edge用户应尽快将密码迁移至专业第三方密码管理器，同时删除浏览器内保存的所有密码，规避信息泄露风险。（快科技）