Microsoft Edge è finito sotto i riflettori per una scoperta che ha fatto discutere parecchio nel mondo della sicurezza informatica. Un ricercatore ha infatti scoperto che il browser di Redmond è l’unico tra quelli basati su Chromium a caricare in memoria tutte le password salvate dall’utente in formato non criptato, e lo fa subito all’avvio. Gli altri browser dello stesso ecosistema, come Chrome e Opera, caricano anch’essi le password in memoria al momento dell’apertura, ma lo fanno mantenendole criptate. Una differenza che, sulla carta, non è affatto banale.
La questione è diventata ancora più interessante quando Microsoft ha risposto ufficialmente, sostenendo che non si tratta di un vero problema di sicurezza. Il ragionamento dell’azienda è questo: se un software malevolo fosse in grado di leggere i dati nella RAM del dispositivo, significherebbe che il sistema è già stato compromesso a monte. Quindi, in pratica, il danno sarebbe già fatto a prescindere dal fatto che le password siano in chiaro o meno.
Il vantaggio prestazionale secondo Microsoft e il confronto con gli altri browser
Lo statement ufficiale di Microsoft è piuttosto articolato. L’azienda ha dichiarato che la sicurezza resta fondamentale per Edge, e che l’accesso ai dati del browser nello scenario descritto dal ricercatore presuppone un dispositivo già compromesso. Le scelte di progettazione, ha aggiunto, richiedono un equilibrio tra prestazioni, usabilità e sicurezza, e vengono monitorate costantemente in base all’evoluzione delle minacce. Microsoft ha poi precisato che i browser leggono i dati delle password in memoria per consentire agli utenti di accedere in modo rapido e sicuro, e che si tratta di una funzionalità prevista dell’applicazione. Il consiglio finale? Installare sempre gli aggiornamenti di sicurezza più recenti e un buon software antivirus.
In sostanza, la scelta di decriptare tutte le password direttamente all’avvio permetterebbe a Edge di ottenere un vantaggio prestazionale significativo rispetto ai concorrenti diretti. Vale la pena ricordare, per dare un po’ di contesto, che Chromium è un progetto open source sviluppato da Google, una sorta di base comune da cui poi prendono forma tutti i browser commerciali che lo utilizzano. Un po’ come succede con l’Android Open Source Project, che sta alla base di interfacce come One UI o HyperOS.
Un dibattito ancora aperto nel mondo della sicurezza
La posizione di Microsoft, almeno a un primo sguardo, ha una sua logica. Però va detto che nel mondo della sicurezza informatica le cose non funzionano mai in modo così netto. Le misure di protezione non sono un interruttore che si accende o si spegne: sono strati multipli che collaborano tra loro per offrire la maggiore resistenza possibile agli attacchi esterni. Allo stesso modo, esistono diversi livelli di compromissione che un attacco può generare su un sistema.
Per il momento, nessuno è riuscito a proporre una contro argomentazione solida che metta davvero in discussione quanto sostenuto da Microsoft. Probabilmente, per spingere l’azienda a modificare il comportamento di Edge, i ricercatori di sicurezza dovranno dimostrare in modo concreto uno scenario in cui un malware sia in grado di rubare le password dalla memoria di Edge ma non da quella degli altri browser basati su Chromium. Fino a quel momento, la situazione resta così com’è.
