<div dir="ltr"><div style="font-family:arial,sans-serif;font-size:12.8000001907349px">Please move all feedback to the mobile list, we are spamming the leaders list.</div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br></div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px">Anyone interested in that conversation can come discuss it on:</div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br></div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><a href="https://groups.google.com/a/owasp.org/forum/#!forum/owasp-mobile-top-10-risks" target="_blank">https://groups.google.com/a/owasp.org/forum/#!forum/owasp-mobile-top-10-risks</a><br></div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br></div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px">(requires request for access, which Jack Mannino manages)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 1:42 PM, Yvan Boily <span dir="ltr"><<a href="mailto:yvanboily@gmail.com" target="_blank">yvanboily@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>> With all due respect<br><br></div><div>With all due respect, the person who prefaces a statement with this is feigning respect while insulting someone.<br></div><span class=""><div><br>> I fully encourage people that have opinions to come forward. What I 
don't encourage is people trying to make bold statements without all the
 facts.<br><br></div></span>Are you looking for opinions or facts?  They aren't the same.  The fact is that certificate pinning is an effective, proven control that protects hundreds of millions of users against the threats that it is effective against.  That why Firefox does it, that's why Chrome does it, and that's why the mobile versions of both browsers do it.<br><br></div>This isn't a teach the controversy situation, it's a security best practice discussion.  If you want to defend reverse engineering prevention (or as the rest of the industry calls it, security by obscurity), then you should be the one focused on presenting the facts of why it is of value.<br><br></div>And for the record, I am not arguing that there is no value in it; my *opinion* on why it is valuable is that increasing the complexity of attacking an application raises the cost of performing an attack where that complexity can't be easily resolved by readily available tools.  Obfuscation and reverse engineering are extremely valuable tools for offsetting investment in application development where the risk to the business (and to the application users) is marginal enough that it makes more sense to attempt to hide vulnerabilities than it does to invest the resources to find the vulnerabilities and fix them.<br><br></div>Cheers,<br>Yvan Boily<br><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 4:15 AM, Jonathan Carter <span dir="ltr"><<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Apologies if my emails came off as that. I think one of things we need to do in OWASP is encourage more debate and participation.  And things like M10 have certainly achieved that to say the least.<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 4:14 AM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Glad to hear that.<br></div>I'm just letting you know that your last 2 emails did not give that impression (to me).<br></div>I think you could have asked Jim for some evidence rather than call into question his right to contribute to the discussion (which is how I read your responses, even if thats not what you intended).<br></div>Thats it from me, I'll go back to lurking.<br><br></div>Simon<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 12:09 PM, Jonathan Carter <span dir="ltr"><<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I fully encourage people that have opinions to come forward. What I don't encourage is people trying to make bold statements without all the facts.<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 4:07 AM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Jonathon,<br><br></div>I think thats out of order :(<br></div>You should be able to make valid arguments for or against points of view without resorting to personal attacks like this.<br></div><div>Putting forward your opinion is not making things personal, and criticizing people for doing so can discourage other people from taking part in the debate.<br>Please stop this line of reasoning.<br></div><br></div>Simon<br></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 12:01 PM, Jonathan Carter <span dir="ltr"><<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I think you've made this personal by trying to impose your view of the world on a technical space you really don't specialize in. My 2 cents...<div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 3:58 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I politely suggest you stick to the debate and move this to the mobile list. No need to make this personal, it's not my intention, Jonathan, and I hope it's not yours either.<span><br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></span></div><div><div><div><br>On Nov 5, 2014, at 7:55 PM, Jonathan Carter <<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">With all due respect, you are a web guy and not a mobile guy.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 3:53 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>So an attacker who is savvy enough to distribute custom modified mobile apps and who knows how to surgically identify pinned certs and change them can't get around obfuscation? I disagree with this threat model, I submit with respect.<span><br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></span></div><div><div><div><br>On Nov 5, 2014, at 7:50 PM, Jonathan Carter <<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">The attacker is downloading the app, making the mods to their own version of the app, and then distributing that to the victim.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 5, 2014 at 3:48 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>What I'm hearing is....</div><div><br></div><div>1) You can modify •your own• mobile binary</div><div>2) Change •your own• pinned cert</div><div>3) And then man in the middle yourself (by making a forged certificate signed by a real authority?)</div><div><br></div><div>I do not see this as a real risk.<span><br><br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></span></div><div><div><div><br>On Nov 5, 2014, at 7:41 PM, Erwin Geirnaert <<a href="mailto:erwin.geirnaert@zionsecurity.com" target="_blank">erwin.geirnaert@zionsecurity.com</a>> wrote:<br><br></div><blockquote type="cite"><div>






<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Hi Jim,</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">If we can execute a man-in-the-middle during black-box mobile app security testing, we often find more issues and attack vectors.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Man-in-the-middle is for mobile a real problem.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Best regards,</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Erwin</span></p>
<p class="MsoNormal"><a name="14981ea77cdac50a_1497fe65d1b4b773_1497fe09c0b2f562_1497fdbf14c26b9c_1497fda4fb2b5bc3_1497fd65f8e57728_1497fd289274308c_1497fcd7bc253daa_1497fc8826e78886__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span></a></p>
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext" lang="EN-US">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext" lang="EN-US"> Jim Manico [<a href="mailto:jim.manico@owasp.org" target="_blank">mailto:jim.manico@owasp.org</a>]
<br>
<b>Sent:</b> 05 November 2014 11:38<br>
<b>To:</b> Erwin Geirnaert; Jonathan Carter<br>
<b>Cc:</b> OWASP Leaders<br>
<b>Subject:</b> Re: [Owasp-leaders] OWASP Mobile Top Ten 2014 - M10 Datapoints</span></p>
</div>
</div>
<p class="MsoNormal"> </p>
<p class="MsoNormal" style="margin-bottom:12.0pt">I do not see <b><i>self</i></b> man-in-the-middle as a serious risk.<br>
<br>
Now if the attacker can modify the mobile app of a victim and change the pinned cert of other clients, that is a big deal. But my understanding is that is not the scenario Jonathan was referring to, if so please elaborate how that would work...<br>
<br>
Again, a pinned cert is NOT private data. It's a <b><i>public</i></b> cert signed by an authority. (Or a hash of a signed public cert like the experimental IETF headers for browsers :
<a href="https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/</a>)<br>
<br>
Aloha,<br>
Jim<br>
<br>
</p>
<div>
<p class="MsoNormal">On 11/5/14 5:28 PM, Erwin Geirnaert wrote:</p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Man-in-the-middle</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span></p>
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext" lang="EN-US">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext" lang="EN-US">
<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">mailto:owasp-leaders-bounces@lists.owasp.org</a>]
<b>On Behalf Of </b>Jim Manico<br>
<b>Sent:</b> 05 November 2014 10:15<br>
<b>To:</b> Jonathan Carter<br>
<b>Cc:</b> OWASP Leaders<br>
<b>Subject:</b> Re: [Owasp-leaders] OWASP Mobile Top Ten 2014 - M10 Datapoints</span></p>
</div>
</div>
<p class="MsoNormal"> </p>
<p class="MsoNormal" style="margin-bottom:12.0pt">So, if the attacker modifies their own pinned certificate in a mobile app, what do they accomplish? The inability to use that webservice. What is accomplished from a security point of view? Nothing....<br>
<br>
- Jim</p>
<div>
<p class="MsoNormal">On 11/5/14 4:38 PM, Jonathan Carter wrote:</p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal">In that particular case, the attacker will perform static analysis, identify the sensitive code associated with the hardcoded data, and then modify the actual data values.</p>
</div>
<div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">On Tue, Nov 4, 2014 at 11:41 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:</p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0cm;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Certificate pinning does hard-code •secrets•, it hard-codes the •public• SSL/TLS key. This is a significant difference, Jonathan.</p>
<div>
<p class="MsoNormal">--</p>
</div>
<div>
<p class="MsoNormal">Jim Manico</p>
</div>
<div>
<p class="MsoNormal">@Manicode</p>
</div>
<div>
<p class="MsoNormal"><a href="tel:%28808%29%20652-3805" target="_blank">(808) 652-3805</a></p>
</div>
</div>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
On Nov 5, 2014, at 11:38 AM, Jonathan Carter <<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>> wrote:</p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal">While M10 does touch on digital rights management, it goes far beyond that.  Here's an easy example: certificate pinning.  Certificate pinning is a classic coding technique that relies upon hardcoded data.  This security control has an
 inherent set of other related binary vulnerabilities that would allow an attacker to completely bypass or disable your flawlessly written code.  You must make it as difficult as possible to prevent someone from modifying that hardocded data.  If they do, you've
 completely made your certificate pinning control irrelevant.  This is what M10 is touching on and it's something that OWASP really doesn't like to talk about or acknowledge.</p>
<div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">On Tue, Nov 4, 2014 at 7:12 PM, Tim <<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>> wrote:</p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0cm;margin-bottom:5.0pt">
<p class="MsoNormal"><br>
Hi Leaders,<br>
<br>
I have brought up my concerns about M10 before and I have done a fair<br>
bit of thinking about this since then.  I think it would be useful to<br>
re-frame the discussion with some more subtle distinctions:<br>
<br>
<br>
0. Are all software security risks also considered business risks?<br>
<br>
   Yes, I would say so.  It is hard to find a computer security risk<br>
   that doesn't pose some kind of business risk.<br>
<br>
<br>
1. Are all business risks considered security risks?<br>
<br>
   No, I definitely don't think so.  There are plenty of things<br>
   outside of the realm of software security that are very real<br>
   business risks (e.g. employees running over a business partner in<br>
   the parking lot by accident).<br>
<br>
<br>
2. Is binary modification/repackaging a real business risk to<br>
   intellectual property?<br>
<br>
   Yes!  It is happening already.  An attacker could repackage your<br>
   app, redistribute, and reap benefits from app stores based on your<br>
   hard work.<br>
<br>
<br>
3. How is mobile reverse engineering and/or repackaging a security<br>
   risk?<br>
<br>
   Yes, specifically:<br>
<br>
   A) Reverse engineering can expose crypto keys and any other secrets<br>
      that are foolishly embedded in the app.<br>
<br>
   B) Repackaging can be used to try and fool users into installing<br>
      the wrong version of an application which has malicious intent.<br>
      Very similar to phishing.<br>
<br>
<br>
4. Does mobile app obfuscation/monitoring/anti-reverse engineering<br>
   technology help solve a *business* risk?<br>
<br>
   Yes, in that it raises the cost of reusing the compiled version of<br>
   the software.  Raise the cost enough, and the attacker might as<br>
   well write their own app.  Even if you don't raise the cost *that*<br>
   high, you reduce the number of people willing to target your app<br>
   specifically.<br>
<br>
<br>
5. Does mobile app obfuscation/monitoring/anti-reverse engineering<br>
   technology help solve a *security* risk?<br>
<br>
   No, I don't think so.<br>
<br>
   Regarding (3A)-- If crypto keys/credentials/etc are valuable, it<br>
   doesn't take a whole lot of effort decode an obfuscated binary to<br>
   get that them.  Definitely worth the minimal effort.<br>
<br>
   Regarding (3B)-- If cloning apps like this is effective against<br>
   users, then it's just as easy to copy the images from the company's<br>
   website, slap it on a "hello world" app, add a login form, and<br>
   poof: you have users' credentials.  You don't need to clone a whole<br>
   app to fool users.<br>
<br>
<br>
<br>
<br>
I think many folks on each side of the discussion are correct in what<br>
they are saying, but they are talking about different things.  Look at<br>
the issue with a slightly higher resolution, particularly in the<br>
context of what attacks are actually applicable, and it all becomes<br>
much more clear:  Remove M10.  (After all, OWASP is primarily about<br>
computer security, not digital rights management.)<br>
<br>
<br>
Cheers,<br>
tim</p>
</blockquote>
</div>
<p class="MsoNormal"> </p>
</div>
</div>
</div>
</blockquote>
</div>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>
</div>
</blockquote>
</div>
</blockquote>
</div>
<p class="MsoNormal"> </p>
</div>
</blockquote>
<p class="MsoNormal"> </p>
</blockquote>
<p class="MsoNormal"> </p>
</div>


</div></blockquote></div></div></div>
</blockquote></div><br></div>
</div></blockquote></div></div></div>
</blockquote></div><br></div>
</div></blockquote></div></div></div>
</blockquote></div><br></div></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br></div></div><span><font color="#888888">-- <br><div><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</font></span></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>
</div></div></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Jason Haddix</div><div>OWASP Mobile Top Ten Project Leader</div><div>Mobile Security Researcher</div><div>(805) 698 2885</div></div></div>
</div>