【要注意】Microsoft Edgeが全パスワードをメモリ上に平文で保存している件について

Microsoft Edgeにおいて、使用中か否かを問わず、すべてのパスワードがメモリ上に暗号化されずに（平文で）保存されているという深刻なセキュリティ上の懸念が指摘されています。機密性の高い認証情報がランダムなメモリダンプから露出するリスクがあるため、取り扱いには十分な注意が必要です。

公平を期すために言っておくけど、「メモリにロードする」ことと「保存する」ことは別物だよ。

これは「気密ハッチの向こう側にいる必要がある」っていう典型例だね。もしプロセスのメモリに自由にアクセスできるなら、わざわざそんなことしなくても対象ユーザーになりすましてパスワードをダンプすればいいだけだし。

攻撃者がターミナルサーバーで管理者権限を取得すれば、ログオンしているすべてのユーザープロセスのメモリにアクセスできる。

管理者権限があれば、すべてのChromeプロセスにデバッガーをアタッチして、パスワードを復号するよう強制することだってできる。結局のところ、コールドブート攻撃以外では大した違いはないし、それにしたって攻撃者の手間が少し減るのか、あるいは今まで不可能だった攻撃が可能になるのかすら定かじゃないね。

このツールって、同じマシンで動いてるEdgeインスタンスにアクセスしてるの？それなら普通に保存されたパスワードを全部エクスポートすればいいだけじゃない？

https://xcancel.com/L1v1ng0ffTh3L4N/status/2051308329880719730

この.exeのソースコードへのリンク持ってる人いない？どうやって抽出してるのか見てみたいんだけど。

ああ、Linuxのpamでも似たようなことはできるはずだよ。OpenSSHやgettyのログインプロセスにgdbをアタッチするだけだし。

それってちょっと馬鹿げてるね。OSのメモリが不足した時、パスワードがスワップファイルに平文のまま書き出される可能性があるわけだし。

参考までに、Googleの説明によるとChromeはパスワードをメモリ内で暗号化して保存していて、他のプロセスがChromeになりすまして平文のパスワードを取得するのを防ぐために特権サービスを利用しているみたいだね：https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html

間違ってたら指摘してほしいんだけど、ChromeはWindowsでも少なくとも以前はパスワードを生テキストで保持してたよ。2021年版のChromeから友達のパスワードを忘れた時に抜き出したことがあるし。

はっきり言われてないみたいだから補足するけど、一つの攻撃ベクトルとして「トイレに行く5分間パソコンをロックし忘れた隙に、悪いハッカーが戻ってくる前にパスワードを全ダンプする」っていうケースがあるよね。

これを考慮するのは価値があると思う。パスワードマネージャーが10分後にマスターパスワードやパスキーを要求するのには理由があるし。Chromeが暗号化されたエンクレーブに依存してると思ってたから、root権限があっても簡単にパスワードを抽出できるとは思わなかったよ。

もちろん、パソコンから目を離すのはダメだけど、不可避なミスが致命的な結果にならないように製品設計するべきっていうのはあるよね。