Sicherheitslücke bei Microsoft Edge: Passwörter liegen im Klartext bereit
Sicherheitsforscher kritisieren die Speicherung von Anmeldedaten im Microsoft Edge-Browser, da diese auf geteilten PCs leicht ausgelesen werden können.
Ein offenes Buch im Browser
Sicherheitsforscher haben entdeckt, dass der Microsoft Edge Browser gespeicherte Passwörter im Klartext auf der Festplatte ablegt. Dieser Umstand ermöglicht es Angreifern, die Anmeldedaten für Gaming-Plattformen oder andere Webdienste ohne großen Aufwand abzugreifen.
Die Speicherung erfolgt laut Microsoft „by design“, um eine einfache Synchronisation und Wiederherstellung zu gewährleisten. Experten warnen jedoch vor den Folgen für Nutzer von gemeinsam genutzten Rechnern.
Die Risiken bei geteilten Systemen
Wer seinen PC mit anderen Personen teilt, setzt seine Konten einem erhöhten Risiko aus. Ein Zugriff auf diese Daten ist zwar an bestimmte Voraussetzungen geknüpft:
- Der Angreifer benötigt zwingend Administratorrechte auf dem betroffenen System.
- Die entsprechenden Dateien befinden sich im lokalen AppData-Verzeichnis des Nutzers.
- Ein lokaler Zugriff ist Voraussetzung, da externe Fernzugriffe durch Windows-Schutzmechanismen erschwert werden.
Ein gefundenes Fressen für Datendiebe
Die Kritik der Fachwelt konzentriert sich darauf, dass das System durch diese Methode zu einer „Credential Harvest“-Quelle wird. Sobald ein Unbefugter lokale Admin-Rechte besitzt, stehen ihm die gespeicherten Login-Daten für Steam, Battle.net oder andere Portale ungefiltert zur Verfügung.
- Es findet keine zusätzliche Verschlüsselung der Passwort-Datenbank außerhalb des Windows-Benutzerkontos statt.
- Der Schutz basiert primär auf den Windows-Zugriffsrechten.
- Sobald diese Barriere durch Malware oder physischen Zugriff fällt, sind die Daten ungeschützt.
Was Gamer jetzt tun sollten
Ein Passwort-Manager eines Drittanbieters bleibt die sicherste Methode für Spieler. Browser-interne Speicherfunktionen sind für sensible Anmeldedaten bei kritischen Online-Accounts oft zu unsicher.
Die Verwendung eines Master-Passworts bei dedizierten Tools verhindert das Auslesen im Klartext. Microsoft hat bisher keine Änderungen an der speichertechnischen Architektur von Edge angekündigt.
VERWANDTE ARTIKEL
Take-Two CEO: PC-Spieler sind nicht die Zielgruppe für den Start von GTA 6
Strauss Zelnick erklärt, warum PC-Spieler bei der Veröffentlichung von Grand Theft Auto 6 noch länger auf eine Version warten müssen.
HyperX Clutch Talon und Cloud Stinger 3: Neue Hardware für Präzisions-Jäger
HyperX erweitert das Portfolio um den Hall-Effect-Controller Clutch Talon und das überarbeitete Cloud Stinger 3 Headset.
Steam-Wochenrückblick: Shooter-Sterben und Roboter-Cowboys
Diese Woche auf Steam: Ein weiterer Online-Shooter stellt den Betrieb ein, während mechanische Revolverhelden die Charts erobern.
Utah nimmt VPN-Nutzer ins Visier: Neues Altersverifikationsgesetz startet
Der US-Bundesstaat Utah verschärft die Regeln für den Zugriff auf Webseiten und nimmt dabei erstmals explizit VPN-Dienste in die Pflicht.