Описание релизов

Важно

Начиная с версии 2024.5, в системе реализован механизм лицензирования.

При переходе на версию 2024.5 необходимо убедиться в наличии файла лицензии Стингрей. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения установить лицензию, см. раздел «Лицензирование».

Важно

Обновление до 2024.5 требует выполнения ряда дополнительных шагов как перед обновлением, так и после обновления перед запуском системы, детали см. в разделе «Обновление до 2024.5».

Версия 2024.10

[ Новая функциональность ]

• iOS. Официальная поддержка iOS 16 в качестве сканирующего агента для iOS-приложений.

• iOS. Переход к новой библиотеке ElleKit в качестве inject-фреймворка для iOS устройств и отказ от Substitute.

• iOS. Улучшена стабильность iOS-устройств, обновление версии Jailbreak-фреймворка до последней поддерживаемой версии.

• iOS. Добавлен обход защиты от записи экрана в приложениях iOS.

• iOS. Усилены обходы проверок окружения для iOS-приложений.

• Добавлено отображение клавиатуры для защищенных полей ввода при сканировании.

• Добавлена возможность использовать wildcard для имени пакета при создании проекта.

• Android. Добавлена возможность загружать aab-файлы для профилей сканирования, не подразумевающих запуска приложения.

[ Bugfix ]

• Исправлены незначительные дефекты.

Версия 2024.5.1

[ Bugfix ]

• Возврат на домашний экран перед сканированием.

• Обработка конфига для внешнего сервиса байткод-анализа, если он не настроен.

• Исправлена ошибка переустановки приложения для активных проверок.

• Добавлены задержки delay при запуске эмулятора Android для работы на менее мощных системах.

Версия 2024.5

[ Новая функциональность ]

• Android. Добавлены активные проверки для экспортированных Activity. Новые обнаруживаемые уязвимости:

  • Ошибка в приложении при работе через IPC.
  • Возможность опосредованного запуска приватных Activity.
  • Возможность запуска произвольного Intent с помощью схемы intent://.
  • Возможность запуска произвольной Активности через Intent.

• Android. Добавлены активные проверки для Deeplink. Новые обнаруживаемые уязвимости:

  • Возможность подмены URL.
  • Возможность открытия произвольной URL в WebView.
  • Возможность открытия произвольных данных в контексте WebView.

• Android. Добавлены активные проверки для фрагментов при использовании JetPack Navigation. Новые обнаруживаемые уязвимости:

  • Приложение использует уязвимую навигацию.
  • Доступ к произвольному Фрагменту с помощью Интента.

• Android. Реализован разбор Permissions в приложении. Новые обнаруживаемые уязвимости:

  • Небезопасный protectionLevel у разрешения.
  • Неверное пространство имён у разрешения.
  • У компонента выставлен неверный атрибут вместо android:permission, возможно android:uses-permission.
  • Приложение использует необъявленное разрешение.
  • Приложение не использует объявленное разрешение.
  • Небезопасный доступ к ContentProvider.
  • ContentProvider использует одинаковые разрешения на чтение и запись.
  • Указан небезопасный путь к ContentProvider.
  • Опасные разрешения, заданные разработчиком.
  • Разрешения, заданные разработчиком.
  • Опасные группы разрешений, заданные разработчиком.
  • Группы разрешений, заданные разработчиком.
  • Использование опасных разрешений.
  • Разрешения, используемые приложением.

• Android. Добавление нового модуля анализа байт-кода для выявления уязвимостей методом Taint-анализа. Новые обнаруживаемые уязвимости:

  • Данные из сторонних источников могут привести к RCE.
  • Данные из сторонних источников используются в FileResolver.
  • Данные из сторонних источников формируют Intent.
  • Данные из сторонних источников могут попасть в WebView JS.
  • Данные из сторонних источников формируют SQL-выражение.
  • Данные из EditText попадают в WebView.loadurl().
  • Данные из EditText попадают в файл.

• Android, iOS. Добавлен способ обнаружения небезопасно настроенного сервиса Firebase Remote Config при поиске мультисекретов.

• Общее. Изменение логики работы сканирующих агентов, снижение нагрузки и ускорение запуска сканирования.

• Общее. Изменение работы с лицензиями, отображение текущих ограничений, загрузка новых лицензий.

• Стандарты и требования. Реализован маппинг CWE уязвимостей на уязвимости Стингрей.

• Стандарты и требования. Добавлен стандарт соответствия сертификации MirPay.

• Android. Добавлена возможность добавления пользовательских заголовков во все запросы от приложения.

[ Доработки текущей функциональности ]

• Android. Добавлена возможность отключать перехват сообщений в WebSocket.

• Интеграции. Поддержка постоянного логина и сессии в App Store.

• Интеграции. добавлена возможность останавливать мониторинг версий в магазинах дистрибуций после 3 неудачных попыток.

• Рекомендации. Обновлено описание для многих уязвимостей.

• Общее. Добавлена возможность использования внешней БД при установке On-Premise.

• Android. Изменение логики отображения уязвимости про проверку на root-доступ и эмулятор.

• UI. Теперь просмотреть логи из интерфейса можно в любой момент времени, а не только при анализе.

• Android. Доработана логика настроек модуля «Обход проверок окружения».

[ Bugfix ]

• Android, iOS. Исправлена ошибка с определением некоторых типов файлов во время анализа.

• iOS. Исправлена ошибка в очереди, когда сканирование с iOS14 уходило на iOS15.

• Android. Исправлена ошибка с частичной декомпиляцией приложения.

Версия 2023.12

[ Новая функциональность ]

• Полностью новый формат отчета о сканировании.

• Android: Разделение уязвимостей, связанных с шифрованием, добавление новых типов уязвимостей.

• Android: Добавление возможности отключения использования протокола http/2 во время перехвата трафика.

• Android: Добавление возможности отключения небезопасных соединений во время перехвата трафика.

• Android: Реализована проверка SBOM-файла на возможность атаки на цепочку поставок (проверка компонент с открытым исходным кодом).

[ Доработки текущей функциональности ]

• Android, iOS: Убрали ограничение на версию ОС для записи и воспроизведения тест-кейсов.

• Android: Улучшение обхода проверок окружения.

• UI: Изменение интерфейса, добавление поддержки различных разрешений экрана.

• UI: Автозаполнение имени пакета при формировании задач мониторинга.

• UI: Добавлена пагинация наверху всех таблиц.

• UI: Автозаполнение учетных записей для интеграций при формировании строки запуска в конструкторе CLI.

• Android, iOS: Добавлено ограничение по времени на запись тестовых сценариев.

[ Bugfix ]

• iOS: Исправлен дефект в модуле дампа расшифрованного исполняемого файла.

• Исправлена проблема с запуском некоторых Flutter-приложений.

• Исправлена проблема с автоматическим пересозданием агентов во время процесса анализа.

• Android, iOS: Исправлена ошибка с определением некоторых типов файлов во время анализа.

Версия 2023.10

[ Новая функциональность ]

• iOS: добавлена поддержка iOS 15 и 16 в качестве сканирующих агентов.

• Android: обход защиты приложений, использующих библиотеки, защищенные DexGuard.

• Android: реализована фильтрация экспортированных компонентов при срабатывании правил IAST.

• IOS: добавлен функционал проверки состояния Wi-Fi/сотовых данных и функционал их включения/отключения.

• Android: новая уязвимость «Использована трансформация ECB для шифрования данных, превышающих размер блока» в модуле криптографии.

[ Доработки текущей функциональности ]

• UI: сохранение открытой информации о выбранном дефекте при обновлении страницы.

• UI: возможность перехода на конкретный дефект по прямой ссылке.

• UI: добавление пагинации сверху всех таблиц.

• UI: автоматическая подстановка имени пакета при настройке мониторинга.

• UI: возможность перенаправления на указанную страницу после аутентификации пользователя.

• iOS: улучшение работы модуля «Обход проверок окружения».

• Android: добавление информации о том, где было найдено срабатывание в модуле «Криптография» (класс/файл).

• Android: связь активных проверок и модуля интерактивного анализа.

[ Bugfix ]

• CLI: устранение ошибки Google Play вида — DF-DFERH-01 при условии, что нет версии кода приложения в ответе от google api.

• Стингрей: исправлена ошибка, когда в отчет в формате JSON не попадали названия уязвимостей.

[ Supporting Features ]

• Исправлены падения в клиентских приложениях.

• CLI: реализован вывод логов в stdout.

Версия 2023.9

[ Новая функциональность ]

• Добавлен новый модуль «Мониторинг системного журнала», который позволяет получить полный лог системного журнала в момент проведения сканирования для улучшения анализа работы приложения.

[ Доработки текущей функциональности ]

• Теперь сканирование завершается со статусом «Отменен», если в профиле отсутствуют активные модули.

• Доработан модуль «Обход проверок окружения» для iOS. Добавлен обход проверки загруженных в память библиотек.

[ Bugfix ]

• Доработка логики работы с правилами. Проверка на использование глобальных флагов в пользовательских правилах.

• Доработка поддержки интеграции с RuStore.

• Результаты сканирования: поддержка скачивания сертификатов из дефектов.

• Исправлено необработанное исключение при попытке обращения к несуществующему файлу во время проведения анализа.

• Устранена ошибка записи в файлы аудита при нескольких одновременных обращениях к одному файлу.

• Исправлено зависание iOS-агента при несовпадении модели устройства, указанной в базе и по факту.

• Устранена ошибка модуля IAST во время анализа приложения.

• LDAP: устранена ошибка «Duplicated key», получаемая в результате миграций.

• Исправлены проблемы, мешающие работе некоторых приложений.

[ Supporting Features ]

• mdast_cli: устранена ошибка, при которой без активных устройств сканирование остается в состоянии «Создан».

Версия 2023.6

[ Новая функциональность ]

• Android. Получение информации об экспортируемых/публичных компонентах приложения. Добавление информационных дефектов:

  • Экспортированные Broadcast Receivers.
  • Экспортированные Content Providers.
  • Экспортированные Services.
  • Экспортированные Activity.

• iOS. Новый модуль «Обход проверок окружения». Функциональность обхода проверки на Jailbreak с детальной настройкой модуля.

• iOS. Функциональность сбора информации из KeyChain и анализ корректности хранения полученной информации. Новые уязвимости:

  • Небезопасный класс защиты данных для элемента KeyChain.
  • Хранение sensitive-информации в KeyChain.
  • Повторный поиск ранее найденной информации в элементах KeyChain.

• iOS. Новый модуль по анализу использования пользовательских клавиатур в приложении. Новые уязвимости:

  • Приложение не запрещает использование пользовательских клавиатур в приложении.
  • Приложение потенциально не запрещает использование пользовательских клавиатур в приложении.

• Android. Новый модуль активных проверок (DAST) для взаимодействия с приложением методом черного ящика. Новые уязвимости:

  • SQL-инъекция в ContentProvider.
  • Path Traversal в ContentProvider.
  • Произвольные данные обновляются в ContentProvider.
  • Произвольные данные вставляются в ContentProvider.
  • Произвольные данные отправляются в ContentProvider.

• Добавление автоматического поиска и валидации ключей от third-party сервисов, включая составные значения в части:

  • токена Twitter;
  • ключей SoftLayer;
  • ключей Mailchamp;
  • ключей Facebook;
  • ключей Linkedin;
  • ключей IBM Cloud IAM;
  • ключей Cloudant;
  • ключей AWS;
  • ключей Mailgun;
  • ключей Twillio;
  • ключей Stripe;
  • App id/client secret для сервиса Square.

• Добавление настройки исключений для поиска чувствительной информации в правилах.

• Возможность переопределения критичности выявляемых уязвимостей на уровне правил.

• Добавление возможности загрузки приложений из магазинов приложений и систем дистрибуции:

  • Huawei AppGallery.
  • AppCenter.
  • Firebase.

• Добавление мониторинга и автоматического сканирования новых версий из магазинов приложений и систем дистрибуции:

  • Huawei AppGallery.
  • AppCenter.
  • Firebase.

• iOS. Добавление функциональности внесения записей в файл /etc/hosts по аналогии с Android.

• Добавление нового уровня критичности для уязвимостей и его автоматическое скрытие из результатов сканирования для уменьшения количества ложных срабатываний.

[ Доработки текущей функциональности ]

• iOS. Переработка и стабилизация процесса записи экрана при создании тестового сценария или автоматического сканирования в iOS-приложениях.

• Добавление настройки параметров генерации отчета по сканированию.

• Уточнение правил поиска банковских карт и других чувствительных данных.

• Добавление настроек для различных модулей анализа.

• Функциональность автоматического перезапуска агентов сканирования для увеличения стабильности работы.

• Функциональность автоматического реиндекса базы данных для улучшения производительности.

• Улучшение обхода проверок окружения для Android.

• Добавлена возможность экспорта отчета по сканированию в формате JSON.

[ Bugfix ]

• Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия».

• UI. Поправлены переводы на английский язык.

• Android. Устранение причин падений при сканировании приложений с Google-картами.

• Android. Исправление загрузки файлов формата aab и apks.

• Исправление ошибки при загрузке больших файлов.

• UI: Исправление отображения собранных данных.

• Исправлена ошибка изменения данных пользователя при аутентификации через LDAP.

• Исправлена ошибка модуля IAST для некоторых приложений Android и iOS.

[ Supporting Features ]

• Обновление списка рекомендаций по уязвимостям.

• Внешний сервис по уведомлениям о проведенных сканированиях по электронной почте.

• Обновленные видео-гайды по работе с инструментом.