<p dir="ltr">By the same logic then may be we should prescribe code  obfuscation for all libraries too. Because any library can be decompiled.<br>
My thoughts: Instead of code obfuscation, I think we have to think about more code execution and direct access peotection. What I mean is this: The compiled code must not be accssible directly through the file system once deployed in the device but protectes from access except for sandboxed execurion on the device memory.<br>
I know I may not be opening the.discussion thread in a different direction but could not help it.<br>
Thanks & Regards e<br>
~Venki</p>
<div class="gmail_quote">On Nov 4, 2014 6:38 PM, "Arturo 'Buanzo' Busleiman" <<a href="mailto:buanzo@buanzo.com.ar">buanzo@buanzo.com.ar</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">If obfuscation is part of an OPEN group's suggestions then something really wrong happened.<br>
</p>
<div class="gmail_quote">On Nov 4, 2014 8:02 AM, "Eoin Keary" <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Lets avoid hard coded secrets so 😜<br>
<br>
Sent from my iPhone<br>
<br>
> On 4 Nov 2014, at 09:19, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>
><br>
> Obfuscation just slows the attacker from finding hard-coded secrets, it does not stop them. This is why I personally think these obfuscation-centric defenses do not belong in any developer-centric top ten, nor should they be used as an excuse to mask horrifically bad practices like hard coded secrets.<br>
><br>
> >  Code that is not obfuscated can also be easily abused to create rogue malicious apps, especially for Android.<br>
><br>
> Now this IS a good reason to use obfuscation technology, but again, it's not a savior only a speed bump. The only way to really stop rogue applications is to monitor various app stores and report them in a timely fashion, unfortunately.<br>
><br>
> My 2 idealistic cents,<br>
> - Jim<br>
><br>
>> On 11/4/14 3:58 PM, Erwin Geirnaert wrote:<br>
>> Hi Andrew,<br>
>><br>
>> If mobile code is not obfuscated it can be a starting point to detect hard-coded secrets.<br>
>> Code that is not obfuscated can also be easily abused to create rogue malicious apps, especially for Android.<br>
>><br>
>> So I think it should be there.<br>
>><br>
>> Best regards,<br>
>><br>
>> Erwin<br>
>><br>
>> -----Original Message-----<br>
>> From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] On Behalf Of Andrew van der Stock<br>
>> Sent: 04 November 2014 08:07<br>
>> To: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>
>> Subject: [Owasp-leaders] OWASP Mobile Top 10 - potential conflict of interest in M10<br>
>><br>
>> Hi folks,<br>
>><br>
>> I've had some feedback on Twitter about the OWASP Mobile Top 10.<br>
>> Number 10 includes a control that I don't believe is a sound security control (security through obfuscation). Coupled with the nature of the employers of those who contributed, all of whom have some form of obfuscation product, I'm really not comfortable that M10 is a sound control or the risk of binary analysis is so high that requires it (no other OWASP standard contains it!), and more to the point M10 has a strong appearance of conflict of interest.<br>
>><br>
>> I know many of those involved in the project, and don't doubt for a second their honest desire to create actionable advice, but I am very concerned that the Mobile Top 10 has an obfuscation control written in by folks who sell obfuscation controls.<br>
>><br>
>> Can we please see the research that demonstrates that binary analysis is one of the top threats to well written mobile code? I use it as a way to improve my client's apps, and obfuscation just makes my job harder, not the code safer.<br>
>><br>
>> thanks<br>
>> Andrew<br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div>