安全研究人员近日发现,Microsoft Edge 会以明文形式保存用户密码。研究人员指出,这种做法可能导致在共享电脑上出现大规模的凭据窃取风险。
据 PC Gamer 报道,该漏洞的产生是因为浏览器在存储敏感登录信息时缺乏强大的加密保护。由于缺乏必要的防护措施,任何能够通过物理或远程方式访问设备文件系统的人,都有可能直接读取这些凭据。
研究人员警告称,这种设计选择使共享工作站变成了高风险环境。在图书馆、网吧或办公场所等多人使用的电脑上,恶意攻击者可以轻而易举地提取保存的密码,进而入侵用户的其他账户。
内置的安全隐患
据相关媒体报道,该问题并非传统的“程序错误(bug)”,而是浏览器“设计使然”的功能特性。这意味着,在当前的浏览器架构中,这些特定密码文件的存储方式本身就不包含加密环节。
研究人员认为,当用户共享硬件设备时,这种特定的配置会“演变成一场凭据收割”。由于明文文件极易获取,攻击者可以使用自动化脚本直接抓取数据,而无需绕过复杂的安全层。
尽管微软尚未正式将此定性为需要紧急修复的关键安全事件,但这一发现凸显了浏览器在本地数据保护方面存在的重大缺陷。在公共或共享设备上登录敏感账户的用户,面临着极高的数据泄露风险。
