Un chercheur a découvert une grave vulnérabilité dans Chromium qui permettait de contourner le cookie SameSite sur les navigateurs Android. Google a corrigé la faille suite au rapport de bug.
Vulnérabilité du contournement du cookie SameSite de Chromium
Le chercheur en sécurité Axel Chong a découvert et signalé une vulnérabilité de contournement de cookie SameSite affectant les navigateurs Android Chromium.
Selon le rapport de bogue, Chong a découvert qu'il pouvait contourner la restriction du cookie SameSite sur les navigateurs Android en utilisant le schéma Intent pour la navigation sur le site.
Possibilité de contourner le cookie SameSite sur Android en redirigeant vers Intent et en continuant à rester dans Chrome.
Chong a également partagé les étapes pour reproduire la vulnérabilité, démontrant le contournement qui pourrait permettre d'échapper à la restriction du cookie SameSite.
En commentant ses découvertes avec The Daily Swig, le chercheur a expliqué qu'il avait remarqué la vulnérabilité en travaillant sur Intents. Il s'est demandé comment les URL d'Intent pouvaient permettre de contourner la sécurité, tout en précisant que cette vulnérabilité pouvait aussi conduire à une falsification de requête intersite (CSRF).
La discussion sur le rapport de bogue de Chong a également souligné que Chrome avait précédemment corrigé un problème similaire, où les redirections normales transmettaient également les cookies SameSite. Cependant, il pouvait encore observer ce comportement, ce qui suggère que Chrome l'a désactivé d'une manière ou d'une autre à un moment donné.
Google a corrigé la vulnérabilité
Chong a signalé ce problème à Google en septembre 2022, déclenchant de nombreuses discussions. Il était difficile pour les développeurs de résoudre ce problème car il fallait déterminer les apps de confiance puisque le modèle de sécurité d'Android ne révélait pas l'expéditeur d'un Intent.
Les commentaires sur le rapport de bogue indiquent comment le fait de faire confiance aux Intents entrants pour toutes les apps pourrait permettre de contourner la restriction SameSite pour toutes les apps. Par conséquent, après une discussion approfondie, les développeurs ont finalement décidé d'interdire les cookies SameSite pour les applications non fiables.
Le chercheur a également testé et confirmé le correctif déployé avec 109.0.5397.0 Android Chrome Canary en novembre 2022. Par la suite, les développeurs ont pris du temps pour régler le même problème pour les onglets personnalisés avant d'autoriser la divulgation du bug.
En plus de déployer le correctif, Google a récompensé le chercheur avec une prime de 5000 $ selon le programme de récompense des vulnérabilités.
Fais-nous part de tes réflexions dans les commentaires.