Uma grave vulnerabilidade de segurança no Microsoft Edge está expondo todas as senhas salvas no navegador em texto puro (plaintext) na memória RAM, e a Microsoft confirma que isso é uma “decisão de design intencional” – não um bug. A descoberta, feita pelo pesquisador de segurança norueguês Tom Jøran Sønstebyseter Rønning, levanta sérias preocupações sobre a privacidade e segurança dos milhões de usuários do navegador.

Como funciona a falha de segurança

Diferentemente de outros gerenciadores de senhas e navegadores baseados em Chromium, o Microsoft Edge descriptografa todas as senhas salvas no momento da inicialização do navegador e as mantém residentes na memória do processo em formato legível, mesmo que o usuário nunca acesse os sites que utilizam essas credenciais durante a sessão.

Em condições normais, gerenciadores de senhas utilizam criptografia de ponta a ponta e só descriptografam as credenciais no momento do uso, apagando-as da memória logo em seguida. No entanto, o Edge quebra essa prática de segurança mantendo todas as senhas permanentemente descriptografadas na RAM enquanto o navegador estiver em execução.

Demonstração prática do risco

Rønning publicou um vídeo demonstrando como qualquer pessoa com acesso local ao dispositivo e privilégios administrativos pode facilmente ler e copiar todas as senhas armazenadas no Edge diretamente da memória RAM, sem necessidade de ferramentas complexas ou exploração de vulnerabilidades adicionais.

“O Edge carrega todas as senhas na memória mesmo quando você não precisa delas. É uma decisão de design estranha”, explicou o pesquisador em publicação na plataforma X.

Resposta da Microsoft: “É por design”

Quando contactada sobre a vulnerabilidade, a Microsoft surpreendeu ao afirmar que o comportamento é intencional. Em declaração oficial à Forbes, um porta-voz da empresa justificou:

“Acesso a dados do navegador como descrito no cenário reportado exigiria que o dispositivo já estivesse comprometido. Escolhas de design nesta área envolvem equilibrar desempenho, usabilidade e segurança. Navegadores acessam dados de senha na memória para ajudar os usuários a fazer login de forma rápida e segura – este é um recurso esperado do aplicativo”.

A empresa recomendou que os usuários instalem as últimas atualizações de segurança e software antivírus para se proteger contra ameaças.

Chrome faz diferente – e é mais seguro

A descoberta é ainda mais preocupante quando comparada com outros navegadores Chromium. Segundo Rønning, o Google Chrome utiliza uma abordagem completamente diferente:

• O Chrome só descriptografa credenciais quando estritamente necessário (just-in-time)
• Implementa App-Bound Encryption como camada adicional de segurança
• Vincula a descriptografia ao processo autenticado do Chrome, impedindo que outros processos reutilizem as chaves de criptografia

O pesquisador testou diversos navegadores baseados em Chromium e constatou que apenas o Edge apresenta esse comportamento de manter todas as senhas em texto puro na memória desde a inicialização.

Qual é o nível real de risco?

Especialistas em segurança ouvidos pela reportagem alertam que, embora um atacante precise de acesso administrativo ao dispositivo para explorar essa vulnerabilidade, isso representa uma quebra significativa na confiança dos usuários.

“Infostealers modernos prosperam na lacuna entre ‘criptografado em repouso’ e ‘exposto em tempo de execução'”, alertou Ted Miracco, CEO da Approov. “A tendência da indústria deveria ser em direção a acesso app-bound e just-in-time a segredos, não cópias plaintext de longa duração na memória”.

Uzair Gadit, CEO da Secure.com, complementa: “Os usuários são orientados a seguir melhores práticas, usar senhas fortes e usar um gerenciador de senhas – e eles fizeram isso. O problema é que o software que mantém essas credenciais tomou uma decisão de design que muda fundamentalmente o risco, e a maioria dos usuários nunca foi informada disso”.

Como se proteger

Diante da confirmação de que a Microsoft não planeja alterar esse comportamento, especialistas recomendam medidas imediatas:

1. Migre para um gerenciador de senhas dedicado

• Utilize soluções especializadas como 1Password, Bitwarden, LastPass ou Dashlane
• Esses aplicativos utilizam criptografia adequada e não mantêm senhas em texto puro na memória

2. Exporte e remova suas senhas do Edge

• Acesse as configurações do navegador
• Exporte suas senhas salvas (se necessário)
• Exclua todas as credenciais armazenadas no Edge

3. Considere alternar de navegador

• Google Chrome apresenta melhor proteção para senhas salvas
• Firefox, Brave e outros navegadores também não apresentam esse comportamento

4. Fortaleça a segurança do dispositivo

• Mantenha antivírus atualizado
• Use autenticação multifator sempre que possível
• Restrinja acesso administrativo ao computador

Ferramenta de verificação disponível

Para quem deseja confirmar por conta própria, Rønning disponibilizou uma ferramenta de código aberto no GitHub que permite verificar se as senhas do Edge estão realmente armazenadas em texto puro na memória RAM. A utilitário é seguro e pode ser usado por qualquer usuário para auditoria pessoal.

Conclusão

Embora a Microsoft argumente que o dispositivo já precisaria estar comprometido para um atacante explorar essa vulnerabilidade, a prática de manter senhas descriptografadas permanentemente na memória vai contra as melhores práticas de segurança da indústria e expõe usuários a riscos desnecessários.

Enquanto a empresa não revisar essa “decisão de design”, a recomendação unânime de especialistas é clara: não use o Microsoft Edge como gerenciador de senhas. Utilize soluções dedicadas e mantenha suas credenciais verdadeiramente protegidas.