Описание релизов
Важно
Начиная с версии 2024.5, в системе реализован механизм лицензирования.
При переходе на версию 2024.5 необходимо убедиться в наличии файла лицензии Стингрей. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения установить лицензию, см. раздел «Лицензирование».
Важно
Обновление до 2024.5 требует выполнения ряда дополнительных шагов как перед обновлением, так и после обновления перед запуском системы, детали см. в разделе «Обновление до 2024.5».
Версия 2024.10
[ Новая функциональность ]
-
iOS. Официальная поддержка iOS 16 в качестве сканирующего агента для iOS-приложений.
-
iOS. Переход к новой библиотеке ElleKit в качестве inject-фреймворка для iOS устройств и отказ от Substitute.
-
iOS. Улучшена стабильность iOS-устройств, обновление версии Jailbreak-фреймворка до последней поддерживаемой версии.
-
iOS. Добавлен обход защиты от записи экрана в приложениях iOS.
-
iOS. Усилены обходы проверок окружения для iOS-приложений.
-
Добавлено отображение клавиатуры для защищенных полей ввода при сканировании.
-
Добавлена возможность использовать wildcard для имени пакета при создании проекта.
-
Android. Добавлена возможность загружать aab-файлы для профилей сканирования, не подразумевающих запуска приложения.
[ Bugfix ]
- Исправлены незначительные дефекты.
Версия 2024.5.1
[ Bugfix ]
-
Возврат на домашний экран перед сканированием.
-
Обработка конфига для внешнего сервиса байткод-анализа, если он не настроен.
-
Исправлена ошибка переустановки приложения для активных проверок.
-
Добавлены задержки delay при запуске эмулятора Android для работы на менее мощных системах.
Версия 2024.5
[ Новая функциональность ]
-
Android. Добавлены активные проверки для экспортированных Activity. Новые обнаруживаемые уязвимости:
- Ошибка в приложении при работе через IPC.
- Возможность опосредованного запуска приватных Activity.
- Возможность запуска произвольного Intent с помощью схемы intent://.
- Возможность запуска произвольной Активности через Intent.
-
Android. Добавлены активные проверки для Deeplink. Новые обнаруживаемые уязвимости:
- Возможность подмены URL.
- Возможность открытия произвольной URL в WebView.
- Возможность открытия произвольных данных в контексте WebView.
-
Android. Добавлены активные проверки для фрагментов при использовании JetPack Navigation. Новые обнаруживаемые уязвимости:
- Приложение использует уязвимую навигацию.
- Доступ к произвольному Фрагменту с помощью Интента.
-
Android. Реализован разбор Permissions в приложении. Новые обнаруживаемые уязвимости:
- Небезопасный protectionLevel у разрешения.
- Неверное пространство имён у разрешения.
- У компонента выставлен неверный атрибут вместо android:permission, возможно android:uses-permission.
- Приложение использует необъявленное разрешение.
- Приложение не использует объявленное разрешение.
- Небезопасный доступ к ContentProvider.
- ContentProvider использует одинаковые разрешения на чтение и запись.
- Указан небезопасный путь к ContentProvider.
- Опасные разрешения, заданные разработчиком.
- Разрешения, заданные разработчиком.
- Опасные группы разрешений, заданные разработчиком.
- Группы разрешений, заданные разработчиком.
- Использование опасных разрешений.
- Разрешения, используемые приложением.
-
Android. Добавление нового модуля анализа байт-кода для выявления уязвимостей методом Taint-анализа. Новые обнаруживаемые уязвимости:
- Данные из сторонних источников могут привести к RCE.
- Данные из сторонних источников используются в FileResolver.
- Данные из сторонних источников формируют Intent.
- Данные из сторонних источников могут попасть в WebView JS.
- Данные из сторонних источников формируют SQL-выражение.
- Данные из EditText попадают в WebView.loadurl().
- Данные из EditText попадают в файл.
-
Android, iOS. Добавлен способ обнаружения небезопасно настроенного сервиса Firebase Remote Config при поиске мультисекретов.
-
Общее. Изменение логики работы сканирующих агентов, снижение нагрузки и ускорение запуска сканирования.
-
Общее. Изменение работы с лицензиями, отображение текущих ограничений, загрузка новых лицензий.
-
Стандарты и требования. Реализован маппинг CWE уязвимостей на уязвимости Стингрей.
-
Стандарты и требования. Добавлен стандарт соответствия сертификации MirPay.
-
Android. Добавлена возможность добавления пользовательских заголовков во все запросы от приложения.
[ Доработки текущей функциональности ]
-
Android. Добавлена возможность отключать перехват сообщений в WebSocket.
-
Интеграции. Поддержка постоянного логина и сессии в App Store.
-
Интеграции. добавлена возможность останавливать мониторинг версий в магазинах дистрибуций после 3 неудачных попыток.
-
Рекомендации. Обновлено описание для многих уязвимостей.
-
Общее. Добавлена возможность использования внешней БД при установке On-Premise.
-
Android. Изменение логики отображения уязвимости про проверку на root-доступ и эмулятор.
-
UI. Теперь просмотреть логи из интерфейса можно в любой момент времени, а не только при анализе.
-
Android. Доработана логика настроек модуля «Обход проверок окружения».
[ Bugfix ]
-
Android, iOS. Исправлена ошибка с определением некоторых типов файлов во время анализа.
-
iOS. Исправлена ошибка в очереди, когда сканирование с iOS14 уходило на iOS15.
-
Android. Исправлена ошибка с частичной декомпиляцией приложения.
Версия 2023.12
[ Новая функциональность ]
-
Полностью новый формат отчета о сканировании.
-
Android: Разделение уязвимостей, связанных с шифрованием, добавление новых типов уязвимостей.
-
Android: Добавление возможности отключения использования протокола http/2 во время перехвата трафика.
-
Android: Добавление возможности отключения небезопасных соединений во время перехвата трафика.
-
Android: Реализована проверка SBOM-файла на возможность атаки на цепочку поставок (проверка компонент с открытым исходным кодом).
[ Доработки текущей функциональности ]
-
Android, iOS: Убрали ограничение на версию ОС для записи и воспроизведения тест-кейсов.
-
Android: Улучшение обхода проверок окружения.
-
UI: Изменение интерфейса, добавление поддержки различных разрешений экрана.
-
UI: Автозаполнение имени пакета при формировании задач мониторинга.
-
UI: Добавлена пагинация наверху всех таблиц.
-
UI: Автозаполнение учетных записей для интеграций при формировании строки запуска в конструкторе CLI.
-
Android, iOS: Добавлено ограничение по времени на запись тестовых сценариев.
[ Bugfix ]
-
iOS: Исправлен дефект в модуле дампа расшифрованного исполняемого файла.
-
Исправлена проблема с запуском некоторых Flutter-приложений.
-
Исправлена проблема с автоматическим пересозданием агентов во время процесса анализа.
-
Android, iOS: Исправлена ошибка с определением некоторых типов файлов во время анализа.
Версия 2023.10
[ Новая функциональность ]
-
iOS: добавлена поддержка iOS 15 и 16 в качестве сканирующих агентов.
-
Android: обход защиты приложений, использующих библиотеки, защищенные DexGuard.
-
Android: реализована фильтрация экспортированных компонентов при срабатывании правил IAST.
-
IOS: добавлен функционал проверки состояния Wi-Fi/сотовых данных и функционал их включения/отключения.
-
Android: новая уязвимость «Использована трансформация ECB для шифрования данных, превышающих размер блока» в модуле криптографии.
[ Доработки текущей функциональности ]
-
UI: сохранение открытой информации о выбранном дефекте при обновлении страницы.
-
UI: возможность перехода на конкретный дефект по прямой ссылке.
-
UI: добавление пагинации сверху всех таблиц.
-
UI: автоматическая подстановка имени пакета при настройке мониторинга.
-
UI: возможность перенаправления на указанную страницу после аутентификации пользователя.
-
iOS: улучшение работы модуля «Обход проверок окружения».
-
Android: добавление информации о том, где было найдено срабатывание в модуле «Криптография» (класс/файл).
-
Android: связь активных проверок и модуля интерактивного анализа.
[ Bugfix ]
-
CLI: устранение ошибки Google Play вида — DF-DFERH-01 при условии, что нет версии кода приложения в ответе от google api.
-
Стингрей: исправлена ошибка, когда в отчет в формате JSON не попадали названия уязвимостей.
[ Supporting Features ]
-
Исправлены падения в клиентских приложениях.
-
CLI: реализован вывод логов в stdout.
Версия 2023.9
[ Новая функциональность ]
- Добавлен новый модуль «Мониторинг системного журнала», который позволяет получить полный лог системного журнала в момент проведения сканирования для улучшения анализа работы приложения.
[ Доработки текущей функциональности ]
-
Теперь сканирование завершается со статусом «Отменен», если в профиле отсутствуют активные модули.
-
Доработан модуль «Обход проверок окружения» для iOS. Добавлен обход проверки загруженных в память библиотек.
[ Bugfix ]
-
Доработка логики работы с правилами. Проверка на использование глобальных флагов в пользовательских правилах.
-
Доработка поддержки интеграции с RuStore.
-
Результаты сканирования: поддержка скачивания сертификатов из дефектов.
-
Исправлено необработанное исключение при попытке обращения к несуществующему файлу во время проведения анализа.
-
Устранена ошибка записи в файлы аудита при нескольких одновременных обращениях к одному файлу.
-
Исправлено зависание iOS-агента при несовпадении модели устройства, указанной в базе и по факту.
-
Устранена ошибка модуля IAST во время анализа приложения.
-
LDAP: устранена ошибка «Duplicated key», получаемая в результате миграций.
-
Исправлены проблемы, мешающие работе некоторых приложений.
[ Supporting Features ]
- mdast_cli: устранена ошибка, при которой без активных устройств сканирование остается в состоянии «Создан».
Версия 2023.6
[ Новая функциональность ]
-
Android. Получение информации об экспортируемых/публичных компонентах приложения. Добавление информационных дефектов:
- Экспортированные Broadcast Receivers.
- Экспортированные Content Providers.
- Экспортированные Services.
- Экспортированные Activity.
-
iOS. Новый модуль «Обход проверок окружения». Функциональность обхода проверки на Jailbreak с детальной настройкой модуля.
-
iOS. Функциональность сбора информации из KeyChain и анализ корректности хранения полученной информации. Новые уязвимости:
- Небезопасный класс защиты данных для элемента KeyChain.
- Хранение sensitive-информации в KeyChain.
- Повторный поиск ранее найденной информации в элементах KeyChain.
-
iOS. Новый модуль по анализу использования пользовательских клавиатур в приложении. Новые уязвимости:
- Приложение не запрещает использование пользовательских клавиатур в приложении.
- Приложение потенциально не запрещает использование пользовательских клавиатур в приложении.
-
Android. Новый модуль активных проверок (DAST) для взаимодействия с приложением методом черного ящика. Новые уязвимости:
- SQL-инъекция в ContentProvider.
- Path Traversal в ContentProvider.
- Произвольные данные обновляются в ContentProvider.
- Произвольные данные вставляются в ContentProvider.
- Произвольные данные отправляются в ContentProvider.
-
Добавление автоматического поиска и валидации ключей от third-party сервисов, включая составные значения в части:
- токена Twitter;
- ключей SoftLayer;
- ключей Mailchamp;
- ключей Facebook;
- ключей Linkedin;
- ключей IBM Cloud IAM;
- ключей Cloudant;
- ключей AWS;
- ключей Mailgun;
- ключей Twillio;
- ключей Stripe;
- App id/client secret для сервиса Square.
-
Добавление настройки исключений для поиска чувствительной информации в правилах.
-
Возможность переопределения критичности выявляемых уязвимостей на уровне правил.
-
Добавление возможности загрузки приложений из магазинов приложений и систем дистрибуции:
- Huawei AppGallery.
- AppCenter.
- Firebase.
-
Добавление мониторинга и автоматического сканирования новых версий из магазинов приложений и систем дистрибуции:
- Huawei AppGallery.
- AppCenter.
- Firebase.
-
iOS. Добавление функциональности внесения записей в файл /etc/hosts по аналогии с Android.
-
Добавление нового уровня критичности для уязвимостей и его автоматическое скрытие из результатов сканирования для уменьшения количества ложных срабатываний.
[ Доработки текущей функциональности ]
-
iOS. Переработка и стабилизация процесса записи экрана при создании тестового сценария или автоматического сканирования в iOS-приложениях.
-
Добавление настройки параметров генерации отчета по сканированию.
-
Уточнение правил поиска банковских карт и других чувствительных данных.
-
Добавление настроек для различных модулей анализа.
-
Функциональность автоматического перезапуска агентов сканирования для увеличения стабильности работы.
-
Функциональность автоматического реиндекса базы данных для улучшения производительности.
-
Улучшение обхода проверок окружения для Android.
-
Добавлена возможность экспорта отчета по сканированию в формате JSON.
[ Bugfix ]
-
Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия».
-
UI. Поправлены переводы на английский язык.
-
Android. Устранение причин падений при сканировании приложений с Google-картами.
-
Android. Исправление загрузки файлов формата aab и apks.
-
Исправление ошибки при загрузке больших файлов.
-
UI: Исправление отображения собранных данных.
-
Исправлена ошибка изменения данных пользователя при аутентификации через LDAP.
-
Исправлена ошибка модуля IAST для некоторых приложений Android и iOS.
[ Supporting Features ]
-
Обновление списка рекомендаций по уязвимостям.
-
Внешний сервис по уведомлениям о проведенных сканированиях по электронной почте.
-
Обновленные видео-гайды по работе с инструментом.