Edge carrega senhas em texto simples e Microsoft diz que não é falha
- pesquisador Tom Rønning descobriu que Microsoft Edge descriptografa todas as senhas salvas ao ser iniciado, mantendo-as na memória RAM como texto simples;
- esse comportamento, que não existe em outros navegadores baseados no Chromium, aumenta riscos em casos de invasão por hacker ou malware;
- mas Microsoft declarou que comportamento é intencional para agilizar o login e que não considera o cenário uma vulnerabilidade de segurança.
Um especialista em segurança descobriu que o Edge armazena senhas na memória RAM em forma de texto simples, sem criptografia ou outro tipo de proteção avançada. Alertada sobre o problema, a Microsoft deu uma resposta surpreendente: isso não é uma falha, mas um comportamento esperado do navegador.
Talvez você saiba que, assim como os navegadores concorrentes, o Microsoft Edge conta com um gerenciador de senhas próprio. Você pode usar esse recurso no preenchimento automático de nome de usuário e senha ao fazer login em sites.
Pois bem, o pesquisador de segurança norueguês Tom Jøran Sønstebyseter Rønning descobriu que, ao ser aberto, o Edge guarda essas senhas em um espaço de memória usando o formato de texto simples. Essa abordagem é considerada perigosa porque aumenta as chances de um malware ou de um hacker capturar essas informações.
Usando o X, Rønning comentou:
Quando você salva senhas no Edge, o navegador descriptografa cada credencial na inicialização e as mantém residentes na memória do processo. Isso acontece mesmo se você nunca acessar um site que usa essas credenciais.
(…) O Edge é o único navegador baseado em Chromium que testei que se comporta desse modo. Em contraste, o Chrome usa um design que torna muito mais difícil para invasores extrair senhas salvas simplesmente lendo a memória do processo.
Tom Rønning, pesquisador de segurança
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Microsoft: comportamento não é falha e não vai mudar
Seguindo as boas práticas, Rønning avisou a Microsoft do problema antes de torná-lo público. Eis então a surpresa: em sua resposta, a companhia argumentou que o comportamento em questão não é uma vulnerabilidade e, portanto, não precisa ser corrigido.
Procurada por alguns veículos, como o Windows Central, a Microsoft comentou:
Segurança e proteção são fundamentais para o Microsoft Edge. O acesso aos dados do navegador, conforme descrito no cenário relatado, exigiria que o dispositivo já estivesse comprometido.
(…) Os navegadores acessam os dados de senha na memória para ajudar os usuários a fazer login de forma rápida e segura — esse é um recurso esperado do aplicativo.
Recomendamos que os usuários instalem as atualizações de segurança e o software antivírus mais recentes para ajudar a se proteger contra ameaças à segurança.
A explicação da Microsoft dá a entender que nada vai mudar porque, para as senhas controladas pelo Edge serem acessadas na memória, o sistema como um todo precisa estar comprometido.
Faz sentido. Mas é como Rønning comentou:
É verdade, até certo ponto, que um invasor com controle total do sistema pode causar grandes estragos, mas isso não significa que se deva facilitar as coisas para ele.
Tom Rønning, pesquisador de segurança
Pegou mal. Esperemos, portanto, que a Microsoft mude de ideia em um futuro não muito distante.