「浏览器还没打开任何网站,你的全部密码已经躺在内存里等着被偷。」这不是科幻片台词,是安全研究员刚发现的Edge真实行为。

4月29日,PaloAltoNtwks Norway在BigBiteOfTech披露了这项发现。研究员@L1v1ng0ffTh3L4N系统测试了所有主流Chromium内核浏览器的凭证内存处理机制,结果只有Edge一家在启动瞬间就把整个密码库解密成明文,并全程驻留内存。

打开网易新闻 查看精彩图片

微软的回应更耐人寻味:「这是设计如此。」

清单1:Edge到底做了什么不一样

研究员的测试方法很直接——监控浏览器进程内存中的密码状态。测试覆盖了Chrome、Edge等Chromium系产品,变量控制得很干净:同一台机器、相同账户体系、相同的密码存储场景。

Edge的行为模式独树一帜:

• 启动即解密:浏览器进程创建的瞬间,所有已保存密码全部转为明文载入内存

• 全程不清理:只要浏览器开着,这些明文密码就一直待在那里

• 与访问无关:哪怕用户整个会话期间都没打开过某个网站,该网站的密码照样明文躺在内存里

Chrome的做法形成鲜明对比。Chrome采用按需解密(on-demand decryption),密码只在两种场景下解密:自动填充时,或用户主动查看已保存密码时。其余时间,内存里只有加密形态的数据。

Chrome还叠加了App-Bound Encryption(应用绑定加密)——把解密密钥与经过身份验证的Chrome进程密码学绑定,其他进程无法复用这些密钥访问凭证。

Edge完全没有这些防护层。

清单2:那个"重新验证"弹窗是摆设

Edge用户应该熟悉这个场景:打开密码管理器界面,系统会弹窗要求重新输入账户密码或PIN。这个设计本意是增加安全门槛,防止旁人偷看。

但研究员的发现让这个动作显得荒诞——

弹窗出现之前,浏览器进程早已持有全部明文密码。内存读取不需要经过任何身份验证,直接查询进程内存就能拿到。

「重新验证」在此情境下只剩UI层面的表演意义。它阻止的是 shoulder surfing(肩窥),却对真正的内存提取攻击毫无防御。

这种设计矛盾让人困惑:微软愿意在界面层做安全提示,却在底层架构上放任明文暴露。用户的感知安全与实际安全出现明显错位。

清单3:多用户环境变成收割场

风险在共享计算环境中急剧放大。

远程桌面服务(RDS)、终端服务器等多用户场景下,多个会话同时活跃是常态。Edge的明文驻留机制,让这类环境变成凭证收割的理想靶场。

披露伴随的验证视频展示了攻击路径:

攻击者获取管理员权限后,可以并发读取所有已登录用户的进程内存。视频演示中,被攻陷的管理员账户成功提取了两名其他登录用户的存储凭证——包括那些会话已断开但进程仍在后台运行的用户。

单次管理员级入侵,转化为整台服务器的全量凭证 harvest。这直接对应MITRE ATT&CK框架中的T1555.003技术项:从Web浏览器获取凭证。

企业IT需要重新评估终端服务器的浏览器策略。传统假设"用户会话隔离提供安全边界"在Edge的内存行为面前失效。

清单4:微软为什么说是"设计如此"

研究员按流程向微软提交漏洞报告,收到的官方回复是:"by design"(设计如此)。

这个回应值得拆解。它不等于"这不是安全问题",而是承认团队知晓该行为并主动选择维持现状。背后的工程权衡可能包括:

• 启动时批量解密能降低后续自动填充的延迟

• 避免按需解密带来的密钥频繁调用开销

• 简化跨设备同步场景下的凭证管理逻辑

但这些优化以安全边界收缩为代价。Chrome证明同样的Chromium内核可以支持更严格的内存防护,说明这不是技术不可行,而是优先级排序问题。

微软现有公开文档确实承认某些凭证处理行为,但未明确披露"启动即全量明文加载"这一具体机制。用户基于界面提示产生的安全预期,与实际系统行为存在信息缺口。

清单5:用户现在能做什么

短期缓解选项有限,但并非没有:

企业侧:终端服务器环境考虑强制Chrome或Firefox替代Edge;部署内存监控工具检测异常进程读取;收紧管理员权限分配,降低横向移动概率。

个人侧:减少Edge密码存储依赖,转向专用密码管理器;敏感账户启用硬件密钥或Passkey替代密码填充;多用户机器上保持Edge进程不常驻。

更根本的解决需要微软调整架构。Chromium生态提供了现成的防护模板:按需解密+应用绑定加密。Edge作为微软主推的默认浏览器,安全基线不应低于同内核竞品。

事件披露后社区反应呈现分化。部分用户表示将立即切换浏览器;也有声音认为本地内存攻击需要前置入侵,"拿到管理员权限本来就能做很多事"。

但这种辩解忽略关键差异:其他浏览器让攻击者需要针对每个用户会话、每个密码查看动作进行实时内存抓取;Edge则提供静态、完整、持久的目标清单。攻击成本不在一个数量级。

密码管理器的核心承诺是"便利而不暴露"。Edge当前实现打破了后半句——便利有了,暴露也成了默认状态。

数据收束:据披露信息,该行为影响所有Edge版本,无配置项可关闭;攻击演示在标准RDS环境中完成,提取延迟以秒计;微软未提供修复时间表,分类为"设计行为"而非漏洞。