Microsoft Edge는 사용하지 않을 때도 모든 비밀번호를 메모리에 평문으로 저장함

• Microsoft Edge는 저장된 비밀번호를 시작 시점에 모두 복호화하고, 해당 자격 증명을 프로세스 메모리에 평문으로 상주시킴
• 사용자가 해당 자격 증명을 쓰는 사이트를 방문하지 않아도 이 동작이 발생함
• Edge의 Password Manager UI는 같은 비밀번호를 표시하기 전에 재인증을 요구하지만, 브라우저 프로세스는 이미 모든 비밀번호를 평문으로 보유하고 있음
• 테스트한 Chromium 기반 브라우저 중 Edge만 이런 방식으로 동작했으며, Chrome은 저장 비밀번호를 단순히 프로세스 메모리에서 읽어 추출하기 더 어렵게 설계돼 있음
• Chrome은 자격 증명이 필요할 때만 복호화하고, App-Bound Encryption(ABE) 으로 복호화를 인증된 Chrome 프로세스에 묶어 다른 프로세스가 Chrome의 암호화 키를 재사용하지 못하게 함
• 이 제어로 평문 비밀번호는 자동완성이나 사용자가 직접 볼 때만 짧게 나타나며, 광범위한 메모리 스크래핑의 효과가 낮아짐

위험 시나리오와 공개 상태

• 공유 환경에서는 평문 비밀번호를 메모리에 유지하는 위험이 커짐
• 공격자가 터미널 서버에서 관리자 권한을 얻으면 로그인한 모든 사용자 프로세스의 메모리에 접근할 수 있음
• 시연에서는 관리자 권한이 있는 사용자 계정을 장악한 공격자가 Edge가 실행 중인 다른 두 로그인 사용자 또는 연결이 끊긴 사용자의 저장 자격 증명을 볼 수 있었음
• Microsoft에 이 동작을 보고했고, 공식 답변은 해당 동작이 “by design”이라는 것이었음
• 사용자와 조직이 자격 증명 관리 방식을 판단할 수 있도록 책임 있는 공개로 공유하겠다는 방침을 Microsoft에 전달함
• 4월 29일 수요일, Palo Alto Networks Norway의 BigBiteOfTech에서 이 내용을 공개했고, 비밀번호가 메모리에 평문으로 저장되는지 쉽게 확인할 수 있는 단순한 도구를 시연함
• 개념 증명 도구는 GitHub에 공개됐으며, C#과 GitHub 배포 경험이 많지 않아 피드백을 받고 있음: EdgeSavedPasswordsDumper