Slack på Android lagrade lösenord i klartext

Vi kör Slack. Dock mest iPhone på telefonsidan. Men bra att veta! 👍

Diggar Slack överlag, så…

Redigerat:
Bra poäng där som nämndes längre ned i tråden – om man loggar in med Google (görs på mitt jobb) och har tvåfaktorsautentisering är allt nog lugnt.

Kunde de inte skickat ett DM på Slack bara?

Tycker Teams (framförallt skrivbordsappen) är segare och har sämre GUI och funktioner än Slack. Men det rör väl på sig som mjukvara bör.

Kör Teams, det känns som många företag kör denna. Orsaken är enkel. Microsoft fixar olika mjukvaruavtal, där många utvecklingsföretag betalar en "struntsumma" och får "alla" Microsoft programvaror hur mycket vi vill ha.
Detta innebär att alla alternativ som inte är Microsoft så blir en licenskostnad en extra kostnad. Och man ser Teams som gratis när man redan har det.

*edit*
Min känsla är att okrypterad temporär tempdata på telefon innehöll dessa uppgifter, inte att de sparades så med flit. Skillnaden är att tempdatan är ett lättare misstag att begå, men att spara lösenord i klartext med flit är inget misstag man gör utan det är ett val.

Det är ingen skillnad på att ha lösenord lagrade på en lapp och tappa den. Det är inget misstag att ständigt bära med sig detta lösenord i klartext på en lapp, utan det var ett val man gjorde.

En viktig fråga är väl: Lagrade var då?

Ursprungsartikeln går igenom det bättre och har bl.a. Slacks meddelande:

On December 21st, 2020, Slack introduced a bug that caused some versions of our Android app to log clear text user credentials to their device. Slack identified the issue on January 20th, 2021 and fixed it on January 21st, 2021. A fixed version of the Android app is available and we have blocked usage of the impacted version(s).

Framstår som att det enbart lagrats lokalt på din mobil. Kanske någon form av debug som gått live?

De nämner även att bara en del användare har drabbats och att det är dessa som får mail.

Så det handlar alltså om att det loggats, inte att det lagrats. Viss skillnad eftersom att lagra sparade lösenord i appens egen datapartition är automatiskt krypterat sedan rätt många android versioner sedan, och kan endast nås av appen själv.

Tack för gräv Så det gör ju i praktikten inte så fruktansvärt mycket. Man brukar väl inte stoppa in sin telefon i främlingars datorer sådär skitofta ändå.

Ja, är det inte standard med 2FA på slack ändå? Kör man utan 2FA får man ju näääästan skylla sig själv.

Med tanke på att Slack står för Searchable Log of All Conversation and Knowledge så är det ännu mer passande

Sen att webbversionen saknar diverse funktioner är ju en annan sak.

Då skulle 94,2% av användare ha säkra om den datan stämmer, och om detta gällde lagring (inte loggning) av okrypterad data.
Krypteringen lades till i Android 5.0 som kom November 2014.

Låter bra! Jag har själv alltid haft root på mina Android-enheter där exempelvis Titanium Backup utan problem kunnat göra backup på allt i systemet. Men om du säger att krypteringen funnits där sedan Android 5.0, så är det givetvis bra!

Har hittills aldrig stött på någon del i systemet där inte Total Commander tagit sig fram, men har nog inte letat på rätt ställen helt enkelt. Nu vet jag att Android 7.1 på min Xiaomi Redmi 4X är säkrat

Lagrat var någonstans? Även om du lagrar saker i klartext i appens egna mapp så är det ingen säkerhetsrisk direkt då andra appar inte kan läsa den datan.

Je, lättast att ta bort appen känner jag ... får väl installera den om jag känner för att slacka på bussen eller nått, men just nu så jobbar jag ändå 100% hemma så det är skit samma.

Är ju sällan en säkerhetsavdelningen är den som bygger in säkerhetsfunktioner i applikationer.
De är ofta normerande, kravställande och granskande.

Är säkert inte designat så heller utan tex hamnar i klartext genom loggning, cache eller liknande.

Vad menar du med att de gömt detta? Fanns det statestik tidigare?