<p dir="ltr">Well it is uncanny that a NGFW vendor (who was in the news two weeks ago for an appsec faux pas) was the first to discover WireLurker with an announcement this week.</p>
<p dir="ltr">Also of mention is that binary protection would not have deterred or shortened the threat frequency or capability, nor changed the loss or risk equations in any shape or form with respect to WireLurker, while monitoring app stores (although Maiyadi, the Chinese app store, was not -- but now likeky is -- on monitoring-service radar) can definitely change this game in the favor of defenders. Perhaps this is not enough evidence to shift decision making but it is a data point!</p>
<p dir="ltr">dre</p>
<div class="gmail_quote">On Nov 7, 2014 11:07 PM, "Jim Manico" <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>It looks like the mobile team (and </div><div>the ASVS team to some degree) are going to change M10 from "lack of binary analysis" (which is not a risk) to "unauthorized code modification" which I think is a move in the right direction. Now that the risk is more clearly identified, I hope we can resume intelligent and respectful conversation regarding how to mitigate it. Monitor app stores? Binary protection technology? Something else? Please join the OWASP mobile project if you are interested! <a href="https://groups.google.com/a/owasp.org/forum/#!forum/owasp-mobile-top-10-risks" target="_blank">https://groups.google.com/a/owasp.org/forum/#!forum/owasp-mobile-top-10-risks</a></div><div><br></div><div>This also returns us to the problem of nomenclature in our industry. Paco Hope has noticed that the OWASP wiki glossary is terribly out of date and he has taken it upon himself to dive in and make positive changes there. I'm very grateful for this. While complaining is ok and we certainly need critique, the OWASP "do-ers" have a much bigger impact in creating positive change. Thank you Paco, and all the other "do-ers" who dig in and get their hands dirty trying to make OWASP better for all.</div><div><br></div><div>Aloha,<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div>