The good news is, the bounty program, if it's finally concrete, it will be managed (confirmation of bugs) by the bounty organization, so leaders won't have that work. However I agree that still, it will represent additional work after issues are confirmed.<div><br></div><div>We will run this program privately, meaning that issues won't be disclosed until agreed with project leaders</div><div><br></div><div>I abandoned the entire review process as I don't agree on the way things are being managed, and many misconceptions the actual management has regarding how this should be run, including proper incentives for projects.</div><div><br></div><div>Back in 2014, we did a major review with a hired tester and I worked with him as volunteer to verify his findings regarding quality and purpose of projects, including some reviews we did back in 2013 in appsec us. </div><div><br></div><div>Also, the team had a different perspective allowing people start empty projects, opposed to some people on the board and the ED pushing this. It went against what we considered reasonable</div><div><br></div><div>But I don't feel the support from actual management as opposed to Sarah Baso and the board at that time , so I have stopped my support on this. As you see is very difficult to find people do reviews, and the actual ED thought that I was doing it alone because I wanted . Timo  and some members helped in the past, but is more work that it seems and I also mentioned that we need to hire people at least, contract based during a period, to help us with this. Btw after 2014, we only promoted some incubators to lab and nothing's else.</div><div><br></div>This was the plan<div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-February/016940.html">http://lists.owasp.org/pipermail/owasp-board/2016-February/016940.html</a><br><div><br></div><div>Again I have felt unrespected with very mean comments against my person like this one:</div><div><a href="http://lists.owasp.org/pipermail/owasp-board/2016-February/016986.html">http://lists.owasp.org/pipermail/owasp-board/2016-February/016986.html</a><br></div><div><br></div><div>They also don't take the time to read properly the proposals we submitted or understand the actual situation, but are ready to criticize, judged and scrutinized. Honestly, We don't need that kind of treatment. Timo, Enrico and I desisted on pursuing this activity as it seems we keep on fighting against very little support to help improve the process.</div><div><br></div>I don't know how they plan to solve this, they say they will hire a technical reviewer, but for  the same they have been saying the same regarding a technical writer.<br><div><br></div><div><br></div><div><br><div><div>On Tuesday, March 22, 2016, Nikola Milosevic <<a href="javascript:_e(%7B%7D,'cvml','nikola.milosevic@owasp.org');" target="_blank">nikola.milosevic@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>Thank you Johanna for reporting the issue. To be honest, I have seen previously pin screen poping up multiple times over locked app, however, issue seems not to be so easy to reproduce. In other words it seems that it depends on the app usage or something, but we need definitely to have a deeper look at the issue. I have added it to GitHub issue tracker: <a href="https://github.com/nikolamilosevic86/owasp-seraphimdroid/issues/36" target="_blank">https://github.com/nikolamilosevic86/owasp-seraphimdroid/issues/36</a></div><div><br></div><div>Regarding doing bounty on some website, I think it is a good idea, but currently it is not time for it. The thing is that soon we will be having Google Summer of Code. There is quite a lot of emails from students I am dealing at the moment, so I expect quite good proposals and hopefully at least one or two slots for this project. Which will mean we will have quite some number of new features soon. Then I would like to stabilize it and maybe after that, during some November-December, we maybe can do bounty program. I know these program, even thou they contribute hugely to quality require quite a lot of work. I was managing bounty program at company I worked previously (<a href="http://managewp.com" target="_blank">managewp.com</a>) and I remember it required almost 2-3 hours every day for checking the reports, most of them being false positives. But I agree, we can think about it for the future, mainly looking after GSoC. Also, question is how bug bounties are dealt money-wise? We have around $500-$1000 on the project account. So, that may be limiting. </div><div><br></div><div>One news for the whole list, is that Kartik Kohli, as from yesterday will be second project leader. This will allow us hopefully to distribute some effort and hopefully make project progress a bit faster. Maybe Kartik can say couple of words about himself and where he sees his contributions in the future. </div><div><br></div><div>And the last comment would be about upgrading... well I have lost faith that the project will be ever upgraded to the lab or flagship stage, since I have submitted request for review and upgrading into lab 8 months ago. I even helped reviewing couple of project, but it did not helped getting focus of reviewers into my project, so obviously system currently does not work. I haven't got almost any feedback at all in 8 months, which I consider ridiculously long time for performing a relatively simple review. It is pity, but it seems that is current state of the affairs there. I firmly think that project is quite mature and went far away from some experimental incubator stage, which makes it annoying having that label on the page... but there is not much I can do about.</div><div><br><br></div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div>Pozdrav/Best regards,</div><div> </div><div>Nikola Milošević</div><div>OWASP Seraphimdroid project leader<br></div><div><a>nikola.milosevic@owasp.org</a></div></div><div><a href="https://www.owasp.org/index.php/Main_Page" target="_blank">OWASP - Open Web Application Security Project</a></div><div><a href="https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project" target="_blank">OWASP Seraphimdroid Project</a></div></div></div></div>
<br><div class="gmail_quote">On Tue, Mar 22, 2016 at 12:03 AM, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Nikola<div><br></div><div>In general I found the app easy to use, but users are users ;-) so is always good to have a very specific guide for them</div><div><br></div><div>I had so far just one small bug i would like to report, not sure is if its a behaviour thing. When I have blocked an app, and I click on its icon, SeraphimDroid pops up to enter the code, but when I do, it does not work. When I went and clicked the SeraphimDroid icon , I entered the code, then the App Lock module appeared and from there I was able to unblock the app I wanted. </div><div><br></div><div>BTW if we run a bounty program on SeraphimDroid with hackers @ hackerOne for example, is that something you would like the project to be part of?</div><div><br></div><div>We think that a reasonable disclosure time is for sure part of the program, for example, if a bug with a high vulnerability is found in the SeraphimApp, we will provide projects a time of 3 months before disclosing it</div><div><br></div><div>What is your opinion? Would you like that Seraphim is part of that as part of a kind of QA?</div><div><br></div><div>Keep in mind I'm not in project reviews, I just would like to help have some sort of QA for users and consumers of projects. You as a project leader can use this info to request (given strong proof) that the project after such rigours test, deserves to be upgraded to LAB, Flagship</div><div><br></div><div>let me know</div><div><br></div><div>Cheers</div><span><font color="#888888"><div><br></div><div>Johanna</div><div><br></div><div><br></div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 6:54 PM, Nikola Milosevic <span dir="ltr"><<a>nikola.milosevic@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Johanna,<div><br></div><div>If you are happy starting transferring and rewriting (where needed) things for a better user guide, I will be very happy. Probably something like that will be necessary to be added into the app. I recieved some feedback where users did not realized some features or did not know how to use them. </div><div><br></div><div>I might try as well to find someone who will be able to give couple of advises on UX and UI in near future. <br><br><br></div></div><div class="gmail_extra"><span><br clear="all"><div><div><div dir="ltr"><div><div>Pozdrav/Best regards,</div><div> </div><div>Nikola Milošević</div><div>OWASP Seraphimdroid project leader<br></div><div><a>nikola.milosevic@owasp.org</a></div></div><div><a href="https://www.owasp.org/index.php/Main_Page" target="_blank">OWASP - Open Web Application Security Project</a></div><div><a href="https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project" target="_blank">OWASP Seraphimdroid Project</a></div></div></div></div>
<br></span><div><div><div class="gmail_quote">On Sun, Mar 20, 2016 at 4:44 PM, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span style="font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px">I checked the document indeed but stopped readying at page 2 as I though it was more of a technical than user guide.</span></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">Do you have a specific user guide alone? If you want, now I'm getting involved how SeraphimDroid works, can write one on GitBook.</font></div><span style="font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px"><div><span style="font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px"><br></span></div>The malware seems to be quiet, not sending any SMS, with who knows which reason (maybe it waits certain amount of days in order to better hide or something else). I'll keep observing the </span><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">behaviour</font><br><div><span style="font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px"><br></span></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">Given the information you provided, I believe this is the case. I also checked the logs you mentioned but there was nothing there, therefore I think that the trojan has been doing anything yet or wont do (maybe depends on my region? who knows)</font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><br></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">Thank you for clarifying the part of non-rooted. I also think that this should not be the case or interfere in case of malware.</font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><br></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">This malware is classified as 'low'. I'll be escalating using a medium to high type of malware but also  do some test with rooted devices and Emulators.</font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><br></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">I'm hoping to setup an environment where I'll be actually debugging the phone and the app, by reverse engineering and checking network communications </font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><br></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">Thank you for the explanation. I'l incorporate this too.</font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><br></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif">Cheers</font></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Sun, Mar 20, 2016 at 10:50 AM, Nikola Milosevic <span dir="ltr"><<a>nikola.milosevic@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">One more thing, I would like to clarify. In your post you said:<div><br></div><div><ul style="padding:0px 2.5em;margin:0.5em 0px;line-height:18.48px;font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13.2px"><li style="padding:0px;margin:0px 0px 0.25em">SeraphimDropid did not provide any warnings since the phone is non-rooted</li></ul><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><span style="font-size:13.2px;line-height:18.48px">SeraphimDroid is designed to work with non-rooted devices only. The idea was that majority of users do have normal, non-rooted phones, as they buy them and they need some sort of protection. When you do root the device you do get access to many more features and you can provide heavier protection, but usually users who rooted their device are technically more savvy and know what they are doing. </span></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><span style="font-size:13.2px;line-height:18.48px"><br></span></font></div><div><font face="Arial, Tahoma, Helvetica, FreeSans, sans-serif"><span style="font-size:13.2px;line-height:18.48px">So device being not rooted is not a problem for us, as it should work with these devices, so it is great you are testing it on it. I don't believe there could be any issue for malware if phone is not rooted, since it would be a bit weird to design malware that work only with rooted devices as they are few. However, to conclude, if app does not work, I would take responsibility to say that feature did not work in that case. However, here malware seems to be quiet, not sending any SMS, with who knows which reason (maybe it waits certain amount of days in order to better hide or something else). You should check permission scanner what says about installed app and let us know. However, that is a bit harder to update and we are aware that it will provide some degree of protection (hopefully!), but not perfect one, since it uses only the use of permissions to determine whether something is or is not malware and is trained on relatively small dataset (400 apps, 200 malware, 200 benign).</span></font></div><br><br></div></div><div class="gmail_extra"><span><br clear="all"><div><div><div dir="ltr"><div><div>Pozdrav/Best regards,</div><div> </div><div>Nikola Milošević</div><div>OWASP Seraphimdroid project leader<br></div><div><a>nikola.milosevic@owasp.org</a></div></div><div><a href="https://www.owasp.org/index.php/Main_Page" target="_blank">OWASP - Open Web Application Security Project</a></div><div><a href="https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project" target="_blank">OWASP Seraphimdroid Project</a></div></div></div></div>
<br></span><div><div><div class="gmail_quote">On Sun, Mar 20, 2016 at 3:36 PM, Nikola Milosevic <span dir="ltr"><<a>nikola.milosevic@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Johanna,<div><br></div><div>I am not sure whether you are aware, there is some kind of user guide <a href="http://inspiratron.org/OWASPSeraphimdroid/SeraphimdroidDocumentation.pdf" target="_blank">http://inspiratron.org/OWASPSeraphimdroid/SeraphimdroidDocumentation.pdf</a> and it starts on 11th page on the document (in the beginning is some architecture overview, which may be better off in separate document, however, this is the current state of affairs. </div><div><br></div><div>Regarding your question, please make sure you entered the app at least once after installing it. There are SMS logs. You can find them under menu and blocker logs. There are 3 tabs, for blocked SMS, USSD and calls. However, if the SMS is sent you should see a notification with OWASP logo saying that there is potentially malicious SMS sent from the device, or something similar. Similar should happen when you install malicious app if Seraphimdroid recognizes it. What should happen is that app is run through the classifier and if it is classified as potentially malicious it should fire notification. However, you can check as well how your apps are classified when you open permission scanner (again from the app menu). If there is green square next to app name, classifier thought it is ok, if it is red it thinks it is malicious. </div><div><br></div><div>Also you may want to have a look at settings menu. There are some options regarding which calls/SMS/USSD codes should be let go, which should be stopped, some settings for blacklists and remote control features.  <br><br><br></div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div>Pozdrav/Best regards,</div><div> </div><div>Nikola Milošević</div><div>OWASP Seraphimdroid project leader<br></div><div><a>nikola.milosevic@owasp.org</a></div></div><div><a href="https://www.owasp.org/index.php/Main_Page" target="_blank">OWASP - Open Web Application Security Project</a></div><div><a href="https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project" target="_blank">OWASP Seraphimdroid Project</a></div></div></div></div>
<br><div class="gmail_quote"><div><div>On Sun, Mar 20, 2016 at 2:33 PM, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Hi All<div><br></div><div>I finalised a first round of testing with SeraphimDroid, you can see my experience here:</div><div><a href="http://cybersecuritywarrior.blogspot.com/2016/03/continued-saga-with-seraphimdroid.html" target="_blank">http://cybersecuritywarrior.blogspot.com/2016/03/continued-saga-with-seraphimdroid.html</a></div><div><br></div><div>Based on it, I have some questions:</div><div>Where are warnings shown?</div><div>In case of infection, were can I confirm that information(any forms of logs , reports)</div><div><br></div><div>Cheers</div><span><font color="#888888"><div><br></div><div><div><div dir="ltr"><div>Johanna Curiel </div></div></div>
</div></font></span></div>
<br></div></div>_______________________________________________<br>
Owasp_seraphimdroid_project mailing list<br>
<a>Owasp_seraphimdroid_project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_seraphimdroid_project" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_seraphimdroid_project</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div></div>
</blockquote></div><br></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></div></blockquote></div><br></div>
</blockquote></div></div></div>
</div><br><br>-- <br><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div><br>