Microsoft Edge internet tarayıcısının kayıtlı parolaları işleme yöntemi, güvenlik araştırmacıları arasında yeni bir tartışmayı gündeme taşıdı. Güvenlik araştırmacısı Tom Rønning tarafından paylaşılan bilgilere göre, Edge kullanıcı tarafından kaydedilmiş tüm parolaları tarayıcı açıldığı anda çözüyor ve bunları oturum süresince cihaz belleğinde düz metin halinde tutuyor. Bu durum, kullanıcı ilgili internet sitelerini hiç ziyaret etmese bile geçerli oluyor. Microsoft ise söz konusu davranışın bir güvenlik açığı olmadığını ve bilinçli şekilde tasarlandığını ifade ediyor.
Edge, Google Chrome ile aynı Chromium altyapısını kullanıyor. Buna rağmen parola yönetimi konusunda iki tarayıcı arasında belirgin farklar bulunuyor. Google Chrome, kayıtlı parolaları yalnızca gerekli olduğu anda çözüyor. Örneğin otomatik doldurma sırasında ilgili parola geçici olarak işleniyor ve sürekli olarak bellekte tutulmuyor. Bunun yanında Chrome’un kullandığı “Application-Bound Encryption” adlı koruma yöntemi de dikkat çekiyor. Bu sistem, şifre çözme anahtarlarını doğrulanmış Chrome işlemiyle ilişkilendiriyor ve kötü amaçlı yazılımların bellekteki verilere erişmesini daha zor hale getiriyor.
Rønning’in gerçekleştirdiği testlerde Chromium tabanlı farklı tarayıcılar incelendi. Buna rağmen kayıtlı tüm parolaları başlangıçta belleğe yükleyen ve bunları düz metin olarak açıkta bırakan tek tarayıcının Microsoft Edge olduğu belirtildi. Araştırmacının bulguları özellikle bilgi hırsızlığı odaklı kötü amaçlı yazılımların yaygınlaştığı bir dönemde dikkat çekici bulunuyor. Çünkü modern infostealer yazılımları yalnızca depolanan verilere değil, uygulamaların çalışma anında bellekte tuttuğu hassas bilgilere de erişmeye çalışıyor.
Microsoft Edge parola yönetimi konusunda eleştirilerin odağında
Microsoft, CyberNews’e yaptığı açıklamada Edge’in bu davranışının kullanıcı deneyimini hızlandırmak amacıyla tercih edildiğini söyledi. Şirkete göre kayıtlı parolaların önceden çözülmesi, internet sitelerine daha hızlı giriş yapılmasını sağlıyor. Bunun yanında Microsoft, böyle bir veriye erişilebilmesi için saldırganın zaten cihaz üzerinde yönetici seviyesinde yetkiye sahip olması gerektiğini de vurguluyor.
Siber güvenlik uzmanlarının önemli bir bölümü, yönetici erişimine sahip bir saldırganın zaten sistemi büyük ölçüde ele geçirmiş sayılacağını kabul ediyor. Ne var ki uzmanlar, tarayıcıların hassas verileri nasıl yönettiğinin yine de kritik olduğunu düşünüyor. Çünkü bazı kötü amaçlı yazılımlar yönetici yetkisi elde ettikten sonra özellikle tarayıcı belleğinde bulunan oturum bilgileri, çerezler ve parolaları hedef alıyor. Bu nedenle verilerin sürekli olarak açık biçimde bellekte tutulması ek risk oluşturabiliyor.
Bunun yanında Edge’in mevcut yaklaşımı, tarayıcı tabanlı parola yöneticilerinin güvenilirliği konusunda da yeniden tartışma başlatmış durumda. Güvenlik uzmanları uzun süredir kullanıcıların parolalarını doğrudan tarayıcı içinde saklamak yerine özel parola yöneticileri kullanmasını tavsiye ediyor. 1Password, Bitwarden ve KeePass gibi bağımsız parola yöneticileri; gelişmiş şifreleme yöntemleri, ek doğrulama katmanları ve daha sıkı erişim kontrolleri sunuyor. Yine de, hiçbir çözüm tamamen risksiz kabul edilmiyor ve cihaz güvenliğinin korunması temel öncelik olmaya devam ediyor.
