BUG PADA COOKIE SAMESITE DAPAT MEMENGARUHI BROWSER CHROMIUM ANDROID

Peneliti keamanan Axel Chong menemukan dan melaporkan kerentanan bypass cookie SameSite yang memengaruhi browser Chromium Android. Hal itu dikatakannya dalam sebuah bug report beberapa waktu lalu. Chong membagikan pengalaman bagaimana dia dapat menghindari pembatasan cookie SameSite pada browser Android dengan menggunakan skema Intent saat bernavigasi ke situs web. Laporan terkait bug report tersebut dimuat oleh salah satu media informasi keamanan siber internasional, The Daily Swig.

Mengomentari temuannya dimuat dalam media tersebut, Chong menjelaskan bahwa dia mengetahui adanya kerentanan tersebut saat sedang mengerjakan suatu tugas. Hal ini menimbulkan pertanyaan baginya, bagaimana mungkin Intent URL dapat mengizinkan dilakukannya bypass keamanan. Menurutnya kerentanan ini memungkinkan peretas untuk melakukan pemalsuan permintaan lintas situs (cross-site request forgery – CSRF).

Temuan Chong ini telah dilaporkan ke Google pada September 2022 sehingga memicu terjadinya banyak diskusi dan perdebatan. Kesimpulan yang muncul dalam diskusi terkait bug report tersebut yaitu saat pengguna browser mempercayai Intent yang masuk maka hal tersebut memungkinkan terjadinya pintasan pada pembatasan SameSite untuk semua aplikasi. Oleh karena itu, setelah mengetahui bahwa kerentanan tersebut melahirkan banyak perdebatan, akhirnya Google memutuskan untuk tidak mengizinkan penggunaan cookie SameSite pada aplikasi yang tidak tepercaya.

Peneliti juga memeriksa dan mengonfirmasi perbaikan yang diterapkan dengan 109.0.5397.0 Android Chrome Canary pada November 2022. Setelah itu, pengembang aplikasi membutuhkan waktu untuk menangani masalah yang sama sebelum mengizinkan pengungkapan bug tersebut. Selain menambal kerentanan, Google juga menghadiahi Chong $5.000 dalam bug bounty reward program.

Link: Hacker Kiddie News