<div dir="ltr">Trusted execution environments are one potential solution to this.  The huge problem we've seen with the TEE approach is that no real widespread adoption because of the hardware aspect.  There's a lot of bureaucracy that has kept everyone from playing in the space.  Hence, things like Android's Kitkat release introducing HCE as a viable alternative that frees you from the hardware implications. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 4, 2014 at 12:03 PM, Andre Gironda <span dir="ltr"><<a href="mailto:andreg@gmail.com" target="_blank">andreg@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><p dir="ltr"><br>
On Nov 4, 2014 10:53 AM, "Jonathan Carter" <<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>> wrote:<br>
><br>
> Things have changed significantly over the past few years within mobile.  There are now a number of new design factors that force organizations to store, transmit, or process things that are extremely sensitive within mobile apps now. In more and more situations, sensitive code must exist within the mobile code. Here are some examples (off the top of my head) where sensitive code must exist on the mobile device: offline availability requirements, HCE, IoT interfaces, mobile banking, medical device interfaces, etc.</p>
</span><p dir="ltr">These can also be implemented using FOSS trusted environments, such as Open-TEE.</p>
<p dir="ltr">My suggestion would be to move the M10 language towards trusted execution environments.</p>
<p dir="ltr">dre<br>
</p>
</blockquote></div><br></div>