Si vous utilisez l’application Slack pour Android, arrêtez tout et changez immédiatement votre mot de passe ! Pendant un mois, un bug survenu à la fin du mois de décembre permettait l’enregistrement en clair des données d’identification des utilisateurs sur leurs appareils.
Même si le mot de passe est stocké en clair sur l’appareil Android, comment peut-il être récupéré par un tiers ?
Bonjour,
Il peut être récupéré par d’autres applications installées sur le smartphone Android. Et certaines sont connues pour collecter beaucoup (trop) d’informations sur leurs utilisateurs, pour en faire on ne sait pas trop quoi…
A noter que beaucoup de gens ont la fâcheuse habitude d’avoir un seul mot de passe, qu’ils utilisent pour toutes leurs applications. C’est là que les choses deviennent très dangereuses. C’est pourquoi Slack insiste dans son mail sur la nécessité de définir un mot de passe unique et fortement sécurisé pour chaque site/logiciel/application.
1 « J'aime »
Merci, c’est clair. Le danger vient des autres applications qui ont accès au storage. C’est dommage de leur donner un accès complet illimité sous prétexte qu’elles ont besoin d’accéder à un moment donné à quelque chose. Pour moi, il devrait y avoir beaucoup plus de limitations en place pour éviter ce type de désagréments…
Il aurait fallu qu’ils gèrent un token; étonnant, quand on connait la valeur de slack…
D’après le communiqué :
« Affected customers are also asked to wipe their Android app’s data to get rid of those logs, which are still hanging around your phone’s storage, storing your login credentials in plain text. There are a handful of ways to do that. Slack instructs customers to go to Settings → Apps → Slack → Storage → Clear Data or Storage »
Donc c’était stocké en clair dans :
/data/data/com.Slack
ou
/Android/data/com.Slack
ils ne sont pas plus précis, « around your phone’s storage » ca ne dit pas quel mode de stockage était utilisé, le Clear Data or Storage vident les deux
A moins que ca confirme l’utilisation de l’espace privé de l’appli (/data/data/com.Slack) non accessible hors ROOT :
Update February 11th, 12:35AM ET: Added Slack’s clarification that the passwords were stored in private logs, and that the issue should have only affected users who logged in with an email and password specifically during the one-month period.
/data/data/<app.package> n’est accessible que par l’application, même pas par l’utilisateur de l’appareil => impossible de faire un backup soit meme par simple copie de fichiers sur Android, seul un accès ROOT permet de mettre la main sur les fichiers stockés la dedans.
Android/data/<app.package> par contre c’est lisible par l’utilisateur et d’autres applications à condition qu’ont leur ait accordé l’accès à ce dossier / dossier parent (c’était plus permissif sur les anciennes versions d’android)