近來,社群平台 X 上的一篇貼文引發了關注。資安研究人員 Tom Jøran Sønstebyseter Rønning(@L1v1ng0ffTh3L4N)在 5 月 4 日發表了一項令人擔憂的觀察:「Microsoft Edge 會將所有已儲存的密碼以明文形式載入記憶體中,即使你當下並未使用它們。」該貼文在短時間內便累積了超過百萬次觀看與大量分享,這不僅挑起了大眾對瀏覽器內建密碼管理機制的隱憂,也點出了長期存在於軟體開發中的記憶體管理難題。
針對這項攻擊的概念驗證程式也已經放上 GitHub,專案名稱為 EdgeSavedPasswordsDumper。
CyberQ 針對這個議題,簡單說明一下背後的技術細節與實際風險。
為什麼密碼會以明文殘留在記憶體?
任何在作業系統中執行的應用程式,都不可避免地需要將相關資料載入記憶體(RAM)中進行處理。對於 Chromium 核心的瀏覽器(如 Microsoft Edge 或 Google Chrome)來說,當使用者開啟內建的儲存密碼與自動填寫功能時,瀏覽器會利用作業系統層級的加密 API(例如 Windows 上的 DPAPI)將密碼安全地加密存放於硬碟中。
真正的問題發生在解密與快取的階段
為了讓使用者在瀏覽網頁時能夠獲得無縫且流暢的自動填寫體驗,瀏覽器或其背景行程往往會預先載入並解密這些憑證。然而,由於記憶體管理與字串處理機制的設計,比方說我們在完成填寫後,未能及時呼叫 SecureZeroMemory 等函數來主動抹除敏感字串,或是受到高階語言垃圾回收機制的延遲影響,這些解密後的明文密碼呢,其實會長時間駐留在行程的記憶體位址空間中。
所以呢,即使你只是單純開著瀏覽器而沒有主動登入任何網站,大量的明文密碼可能早已暴露在 Edge 分配到的記憶體區塊內。
實際的資安風險與威脅模型
這聽起來相當嚇人,但從資安防禦的角度來看,我們必須釐清其實際的威脅模型。要能夠讀取到這些明文密碼,攻擊者得必須跨越有難度的門檻,也就是駭客他必須能取得受害者電腦的本機存取與執行權限才行。
一旦端點設備被入侵,這類記憶體殘留就會成為駭客與惡意軟體的絕佳攻擊標的。目前主流的資訊竊取軟體(Infostealers,如惡名昭彰的 RedLine、Raccoon 等)正是利用這類特性,透過傾印(Dump)瀏覽器的行程記憶體,並運用特徵碼掃描特定的記憶體區段,藉此在不需要破解硬碟加密防護的情況下,直接搜刮使用者的所有帳號密碼。
對於科技大廠而言,要在龐大且複雜的瀏覽器架構中徹底解決記憶體殘留,同時兼顧效能與使用者體驗,是一項難以在短期內完美最佳化的工程挑戰。
Windows Hello 不是「記憶體保險箱」
值得注意的是,Edge 要求使用者透過 Windows Hello、PIN 或系統密碼才能在設定頁面查看已儲存密碼,這並不代表密碼在整個執行期間都不會以明文形式出現在記憶體中。根據 Microsoft 官方文件,Edge 的密碼在硬碟上會以 AES 加密保存,並透過作業系統的安全儲存區,例如 Windows DPAPI,保護加密金鑰。
但 Microsoft 也明確指出,當裝置已遭惡意程式感染,且攻擊程式以使用者身分執行時,瀏覽器並不把這類整台設備已被入侵的情境視為可完全防禦的威脅模型。換句話說,Windows Hello 比較像是防止旁人直接點開設定頁面偷看密碼,而不是保證瀏覽器行程記憶體中永遠不會出現明文憑證。
企業環境的真正風險在於橫向移動
對一般個人使用者來說,攻擊者要讀取 Edge 記憶體,通常已經必須先在本機取得執行權限。但在企業環境中,這個問題會被放大,尤其是 VDI、Citrix、Windows Terminal Server、共用跳板機或多人登入的遠端桌面環境。
Dark Reading 引述研究人員說明,只要攻擊者取得足夠的系統管理權限,就可能讀取其他登入使用者的瀏覽器行程記憶體,進而取得密碼,再用這些帳密展開橫向移動、冒用身分、存取內部系統,甚至成為勒索攻擊的前置階段。這也是為什麼企業不應只把它視為單機瀏覽器小問題,而應納入端點控管、特權帳號管理與身分安全治理一起看待。
不要忽略 Cookie 與 Session Token,MFA 也可能被繞過
這類瀏覽器記憶體風險不只限於帳號密碼本身。CyberArk 過去針對 Chromium 的研究指出,瀏覽器記憶體中也可能出現 Cookie 值與 Session Cookie,一旦攻擊者成功竊取有效 Session,就可能在不重新輸入密碼、不觸發一般 MFA 流程的情況下,接管 Gmail、OneDrive、GitHub 等已登入的網頁工作階段。
這代表企業在討論密碼管理員安全性時,也應同時關注瀏覽器工作階段保護、Cookie 竊取偵測、登入風險評分與裝置信任,而不是只看密碼是否有加密存放在硬碟上。
這不是換瀏覽器就能完全解決
從 MITRE ATT&CK 的分類來看,從瀏覽器取得憑證屬於 T1555.003「Credentials from Web Browsers」攻擊技術,攻擊者可能透過讀取瀏覽器憑證資料庫、呼叫系統解密 API,或直接掃描瀏覽器行程記憶體來取得明文帳密,這類風險其實是橫跨多種瀏覽器與作業系統。
無論如何,我們必須避免把高價值帳密長期交給類似微軟 Edge 瀏覽器仍尚未完整妥善處理相關問題的內建密碼管理員保存,改採獨立密碼管理器、企業控管政策與 Passkeys/FIDO2 等無密碼驗證機制,會是更完整的防禦方向。
企業與個人的防禦與最佳化實務
面對此類風險,不論是企業的資安合規框架,或是個人的日常防護,都應採取更積極的緩解措施:
停用瀏覽器內建的密碼管理員
建議將密碼轉移至獨立且具備嚴格安全審查的第三方密碼管理工具(如 1Password、Bitwarden 等)。專業的密碼管理軟體通常在記憶體保護(Memory Protection)上有更嚴謹的實作,會在解密字串使用完畢後,主動覆寫並清空記憶體中的敏感資訊。
強化端點防護與落實零信任架構
既然這類攻擊需要取得系統本機權限,部署有效的端點偵測與回應(EDR)系統,阻擋未知的惡意軟體執行以及防範未經授權的記憶體傾印行為,是防堵資訊外洩的關鍵防線。
推動無密碼(Passwordless)身分驗證
從資安發展的長遠角度來看,傳統密碼的儲存與傳輸始終伴隨著遭竊的風險。積極導入 FIDO2 或 Passkeys(通行密鑰)機制,從根本上消滅對明文密碼的依賴,將是未來身分驗證架構的重點所在。
CyberQ 認為,瀏覽器是我們日常工作和生活重要的一項軟體,這類科技工具帶來的便利性往往伴隨著潛在的資安代價,平常要儘量能了解底層的運作機制是否我們可接受,並採取適當的防護措施,比較能夠保護我們的機敏資訊。
CyberQ 建議,如果必須使用 Edge 或其他主流瀏覽器,應優先停用瀏覽器內建密碼管理員,避免將高價值帳密長期存放在瀏覽器中。企業環境則可透過群組原則、MDM 或端點管理工具統一停用瀏覽器儲存密碼功能,並改採經審查的獨立密碼管理器、FIDO2/Passkeys 與端點偵測防護。這件事的重點不是單純換一套瀏覽器,而是降低瀏覽器成為憑證集中倉庫的風險。
