Microsoft Edge Simpan Password dalam Bentuk Teks Biasa di Memori RAM

Keamanan data jutaan pengguna Microsoft Edge terancam setelah peneliti menemukan peramban tersebut memuat seluruh kata sandi tersimpan dalam bentuk teks biasa ke memori sistem saat startup. Praktik ini memudahkan perangkat lunak berbahaya untuk mencuri kredensial pengguna secara langsung tanpa perlu proses dekripsi yang rumit. Kondisi tersebut menempatkan Edge sebagai satu-satunya peramban berbasis Chromium yang menerapkan kebijakan penyimpanan memori berisiko tinggi.

Temuan mengejutkan dari peneliti keamanan siber dengan nama samaran @L1v1ng0ffTh3L4N mengungkapkan celah fatal pada mekanisme penanganan data sensitif di Microsoft Edge. Saat pengguna membuka peramban, Edge secara otomatis mendekripsi seluruh kata sandi yang tersimpan dan membiarkannya menetap di memori proses dalam format plaintext atau teks biasa yang mudah dibaca.

Kondisi ini sangat berbahaya karena kredensial tersebut tetap berada di RAM meskipun pengguna tidak sedang mengunjungi situs web yang memerlukan login tersebut. Jika sebuah perangkat terinfeksi malware atau penyerang berhasil mendapatkan akses administratif, mereka dapat dengan mudah menyalin seluruh daftar akun dan kata sandi langsung dari memori tanpa hambatan enkripsi sama sekali.

Perbedaan Kontras dengan Google Chrome dan Brave

Meskipun Microsoft Edge dibangun di atas fondasi Chromium yang sama dengan Google Chrome, Opera, dan Brave, perilaku penanganan memorinya ternyata berbeda total. Peneliti tersebut menegaskan bahwa Edge adalah satu-satunya peramban berbasis Chromium yang ia uji dengan perilaku seberisiko ini. Peramban lain umumnya menerapkan standar keamanan yang jauh lebih ketat untuk melindungi data pengguna di level perangkat keras.

Sebagai perbandingan, Google Chrome hanya akan memuat kata sandi ke dalam memori dalam bentuk teks biasa saat pengguna melakukan tindakan spesifik. Hal ini biasanya terjadi ketika pengguna meminta untuk melihat kata sandi di menu pengelola sandi atau saat fitur autofill diaktifkan secara manual di laman login. Langkah ini meminimalisir durasi data sensitif terpapar di RAM sistem.

Efisiensi Jadi Alasan Microsoft Abaikan Celah Keamanan

Merespons temuan ini, Microsoft justru menyatakan bahwa perilaku tersebut bukanlah sebuah masalah keamanan yang mendesak. Perusahaan teknologi asal Redmond ini berdalih bahwa keputusan desain tersebut diambil demi menyeimbangkan performa, kemudahan penggunaan, dan keamanan. Memuat data ke memori diklaim membantu pengguna untuk masuk ke akun mereka dengan lebih cepat dan lancar.

"Akses ke data peramban seperti yang dijelaskan dalam skenario yang dilaporkan memerlukan perangkat yang sudah disusupi terlebih dahulu," ujar juru bicara Microsoft dalam pernyataan resminya. Microsoft menganggap bahwa selama perangkat pengguna bersih dari malware, data di memori tetap aman. Namun, argumen ini dikritik karena mengabaikan prinsip defense-in-depth yang seharusnya menjadi standar aplikasi modern.

Risiko bagi Pengguna Terminal Server dan Komputer Publik

Peneliti memperingatkan bahwa risiko terbesar mengintai pada lingkungan kerja yang menggunakan terminal server atau komputer yang digunakan bersama. Jika seorang peretas berhasil mendapatkan hak akses administrator pada server tersebut, mereka bisa memanen memori dari semua proses pengguna yang sedang login. Seluruh kata sandi milik puluhan hingga ratusan karyawan yang tersimpan di Edge bisa dicuri dalam sekejap.

Hingga saat ini, belum ada tanda-tanda Microsoft akan merilis pembaruan untuk mengubah mekanisme tersebut. Perusahaan justru memberikan rekomendasi standar bagi para pengguna untuk tetap terlindungi dari ancaman ini:

• Selalu memasang pembaruan keamanan Windows terbaru secara rutin.
• Menggunakan perangkat lunak antivirus yang mumpuni untuk mencegah infeksi malware di level sistem.
• Berhati-hati saat menyimpan kredensial sangat sensitif, seperti akun perbankan, pada pengelola kata sandi bawaan peramban.

Sikap Microsoft yang terkesan santai menghadapi temuan ini memicu perdebatan di komunitas keamanan siber. Di saat kompetitor memperketat celah sekecil apa pun, Edge justru memprioritaskan kecepatan login di atas perlindungan data mentah di memori. Bagi pengguna yang sangat memprioritaskan privasi, beralih ke pengelola kata sandi pihak ketiga atau menggunakan peramban dengan manajemen memori yang lebih aman bisa menjadi opsi yang bijak.