Перейти к содержанию

Описание релизов

Важно

Начиная с версии 2024.5, в системе реализован механизм лицензирования.

При установке/переходе на версию 2024.5 и выше необходимо убедиться в наличии файла лицензии Стингрей. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения установить лицензию, см. раздел «Лицензирование».

Важно

Обновление версии до 2024.5 и выше требует выполнения ряда дополнительных шагов как перед обновлением, так и после обновления перед запуском системы, детали см. в разделе «Обновление до 2024.5».

Версия 2024.12

[ Новая функциональность ]

  • [Android] Автоматическое выявление уязвимостей, связанных с уязвимостями в навигации Jetpack Compose.

    • Открытие произвольного экрана через уязвимость в Jetpack Compose.

  • [Android] Добавлена возможность ограничения загрузки нативных библиотек для обхода проверок окружения.

  • [Android][iOS] Новая функциональность по построению и контролю целостности трасс вызовов для приложений с модулем Цифрового Рубля.
  • [Android] Перехват трафика и снятие SSL Pinning для приложений на фреймворке Flutter.
  • [Android TV] Новая архитектура для анализа - Android TV. Позволяет анализировать приложения для телевизоров.

[ Bugfix ]

  • [iOS] Исправление работы модуля "Мониторинг логов приложения" для iOS 15 и 16.
  • [Android] Исправление ошибок в модуле криптографии.
  • [Android] Исправление ошибок в модуле UsedFiles.
  • [Android][iOS] Обход блокировок и ограничений на скачивание приложений из Google Play и Apple Appstore.
  • [UI] Исправление ошибки загрузки split-apk (zip-архива) с операционной системы Windows.
  • [Android] Исправлена проблема периодической "не загрузки" эмулятора.

[ Доработка существующей функциональности ]

  • [iOS] Добавлена возможность задавать соответствие доменов и ip-адресов для iOS 16.
  • [Report] Добавление информации в JSON-отчет (поля scan_id и CWE).
  • [Standard] Обновлен стандарт OWASP MASVS до актуальной версии.
  • [Recommendations] Большое обновление рекомендаций по исправлению уязвимостей.
  • [Recommendations] Разделение общих рекомендаций на отдельные статьи.
  • [Backend] Доработка механизма автоочистки. Удаление только сканирований и приложений.
  • [Android] [iOS] Существенно уменьшено время работы модуля IAST.

Версия 2024.10

[ Новая функциональность ]

  • [iOS] Официальная поддержка iOS 16 в качестве сканирующего агента для iOS-приложений.

  • [iOS] Переход к новой библиотеке ElleKit в качестве inject-фреймворка для iOS устройств и отказ от Substitute.

  • [iOS] Улучшена стабильность iOS-устройств, обновление версии Jailbreak-фреймворка до последней поддерживаемой версии.

  • [iOS] Добавлен обход защиты от записи экрана в приложениях iOS.

  • [iOS] Усилены обходы проверок окружения для iOS-приложений.

  • Добавлено отображение клавиатуры для защищенных полей ввода при сканировании.

  • Добавлена возможность использовать wildcard для имени пакета при создании проекта.

  • [Android] Добавлена возможность загружать aab-файлы для профилей сканирования, не подразумевающих запуска приложения.

[ Bugfix ]

  • Исправлены незначительные дефекты.

Версия 2024.5.1

[ Bugfix ]

  • Возврат на домашний экран перед сканированием.

  • Обработка конфига для внешнего сервиса байткод-анализа, если он не настроен.

  • Исправлена ошибка переустановки приложения для активных проверок.

  • Добавлены задержки delay при запуске эмулятора Android для работы на менее мощных системах.

Версия 2024.5

[ Новая функциональность ]

  • [Android] Добавлены активные проверки для экспортированных Activity. Новые обнаруживаемые уязвимости:

    • Ошибка в приложении при работе через IPC.
    • Возможность опосредованного запуска приватных Activity.
    • Возможность запуска произвольного Intent с помощью схемы intent://.
    • Возможность запуска произвольной Активности через Intent.

  • [Android] Добавлены активные проверки для Deeplink. Новые обнаруживаемые уязвимости:

    • Возможность подмены URL.
    • Возможность открытия произвольной URL в WebView.
    • Возможность открытия произвольных данных в контексте WebView.

  • [Android] Добавлены активные проверки для фрагментов при использовании JetPack Navigation. Новые обнаруживаемые уязвимости:

    • Приложение использует уязвимую навигацию.
    • Доступ к произвольному Фрагменту с помощью Интента.

  • [Android] Реализован разбор Permissions в приложении. Новые обнаруживаемые уязвимости:

    • Небезопасный protectionLevel у разрешения.
    • Неверное пространство имён у разрешения.
    • У компонента выставлен неверный атрибут вместо android:permission, возможно android:uses-permission.
    • Приложение использует необъявленное разрешение.
    • Приложение не использует объявленное разрешение.
    • Небезопасный доступ к ContentProvider.
    • ContentProvider использует одинаковые разрешения на чтение и запись.
    • Указан небезопасный путь к ContentProvider.
    • Опасные разрешения, заданные разработчиком.
    • Разрешения, заданные разработчиком.
    • Опасные группы разрешений, заданные разработчиком.
    • Группы разрешений, заданные разработчиком.
    • Использование опасных разрешений.
    • Разрешения, используемые приложением.

  • [Android] Добавление нового модуля анализа байт-кода для выявления уязвимостей методом Taint-анализа. Новые обнаруживаемые уязвимости:

    • Данные из сторонних источников могут привести к RCE.
    • Данные из сторонних источников используются в FileResolver.
    • Данные из сторонних источников формируют Intent.
    • Данные из сторонних источников могут попасть в WebView JS.
    • Данные из сторонних источников формируют SQL-выражение.
    • Данные из EditText попадают в WebView.loadurl().
    • Данные из EditText попадают в файл.

  • [Android] [iOS] Добавлен способ обнаружения небезопасно настроенного сервиса Firebase Remote Config при поиске мультисекретов.

  • [Общее] Изменение логики работы сканирующих агентов, снижение нагрузки и ускорение запуска сканирования.

  • [Общее] Изменение работы с лицензиями, отображение текущих ограничений, загрузка новых лицензий.

  • [Стандарты и требования] Реализован маппинг CWE уязвимостей на уязвимости Стингрей.

  • [Стандарты и требования] Добавлен стандарт соответствия сертификации MirPay.

  • [Android] Добавлена возможность добавления пользовательских заголовков во все запросы от приложения.

[ Доработки текущей функциональности ]

  • [Android] Добавлена возможность отключать перехват сообщений в WebSocket.

  • [Интеграции] Поддержка постоянного логина и сессии в App Store.

  • [Интеграции] Добавлена возможность останавливать мониторинг версий в магазинах дистрибуций после 3 неудачных попыток.

  • [Рекомендации] Обновлено описание для многих уязвимостей.

  • [Общее] Добавлена возможность использования внешней БД при установке On-Premise.

  • [Android] Изменение логики отображения уязвимости про проверку на root-доступ и эмулятор.

  • [UI] Теперь просмотреть логи из интерфейса можно в любой момент времени, а не только при анализе.

  • [Android] Доработана логика настроек модуля «Обход проверок окружения».

[ Bugfix ]

  • [Android] [iOS] Исправлена ошибка с определением некоторых типов файлов во время анализа.

  • [iOS] Исправлена ошибка в очереди, когда сканирование с iOS14 уходило на iOS15.

  • [Android] Исправлена ошибка с частичной декомпиляцией приложения.

Версия 2023.12

[ Новая функциональность ]

  • Полностью новый формат отчета о сканировании.

  • [Android] Разделение уязвимостей, связанных с шифрованием, добавление новых типов уязвимостей.

  • [Android] Добавление возможности отключения использования протокола http/2 во время перехвата трафика.

  • [Android] Добавление возможности отключения небезопасных соединений во время перехвата трафика.

  • [Android] Реализована проверка SBOM-файла на возможность атаки на цепочку поставок (проверка компонент с открытым исходным кодом).

[ Доработки текущей функциональности ]

  • [Android] [iOS] Убрали ограничение на версию ОС для записи и воспроизведения тест-кейсов.

  • [Android] Улучшение обхода проверок окружения.

  • [UI] Изменение интерфейса, добавление поддержки различных разрешений экрана.

  • [UI] Автозаполнение имени пакета при формировании задач мониторинга.

  • [UI] Добавлена пагинация наверху всех таблиц.

  • [UI] Автозаполнение учетных записей для интеграций при формировании строки запуска в конструкторе CLI.

  • [Android] [iOS] Добавлено ограничение по времени на запись тестовых сценариев.

[ Bugfix ]

  • [iOS] Исправлен дефект в модуле дампа расшифрованного исполняемого файла.

  • Исправлена проблема с запуском некоторых Flutter-приложений.

  • Исправлена проблема с автоматическим пересозданием агентов во время процесса анализа.

  • [Android] [iOS] Исправлена ошибка с определением некоторых типов файлов во время анализа.

Версия 2023.10

[ Новая функциональность ]

  • [iOS] Добавлена поддержка iOS 15 и 16 в качестве сканирующих агентов.

  • [Android] Обход защиты приложений, использующих библиотеки, защищенные DexGuard.

  • [Android] Реализована фильтрация экспортированных компонентов при срабатывании правил IAST.

  • [iOS] Добавлен функционал проверки состояния Wi-Fi/сотовых данных и функционал их включения/отключения.

  • [Android] Новая уязвимость «Использована трансформация ECB для шифрования данных, превышающих размер блока» в модуле криптографии.

[ Доработки текущей функциональности ]

  • [UI] Сохранение открытой информации о выбранном дефекте при обновлении страницы.

  • [UI] Возможность перехода на конкретный дефект по прямой ссылке.

  • [UI] Добавление пагинации сверху всех таблиц.

  • [UI] Автоматическая подстановка имени пакета при настройке мониторинга.

  • [UI] Возможность перенаправления на указанную страницу после аутентификации пользователя.

  • [iOS] Улучшение работы модуля «Обход проверок окружения».

  • [Android] Добавление информации о том, где было найдено срабатывание в модуле «Криптография» (класс/файл).

  • [Android] Связь активных проверок и модуля интерактивного анализа.

[ Bugfix ]

  • [CLI] Устранение ошибки Google Play вида — DF-DFERH-01 при условии, что нет версии кода приложения в ответе от google api.

  • [Стингрей] Исправлена ошибка, когда в отчет в формате JSON не попадали названия уязвимостей.

[ Supporting Features ]

  • Исправлены падения в клиентских приложениях.

  • [CLI] Реализован вывод логов в stdout.

Версия 2023.9

[ Новая функциональность ]

  • Добавлен новый модуль «Мониторинг системного журнала», который позволяет получить полный лог системного журнала в момент проведения сканирования для улучшения анализа работы приложения.

[ Доработки текущей функциональности ]

  • Теперь сканирование завершается со статусом «Отменен», если в профиле отсутствуют активные модули.

  • Доработан модуль «Обход проверок окружения» для iOS. Добавлен обход проверки загруженных в память библиотек.

[ Bugfix ]

  • Доработка логики работы с правилами. Проверка на использование глобальных флагов в пользовательских правилах.

  • Доработка поддержки интеграции с RuStore.

  • Результаты сканирования: поддержка скачивания сертификатов из дефектов.

  • Исправлено необработанное исключение при попытке обращения к несуществующему файлу во время проведения анализа.

  • Устранена ошибка записи в файлы аудита при нескольких одновременных обращениях к одному файлу.

  • Исправлено зависание iOS-агента при несовпадении модели устройства, указанной в базе и по факту.

  • Устранена ошибка модуля IAST во время анализа приложения.

  • [LDAP] Устранена ошибка «Duplicated key», получаемая в результате миграций.

  • Исправлены проблемы, мешающие работе некоторых приложений.

[ Supporting Features ]

  • [mdast_cli] Устранена ошибка, при которой без активных устройств сканирование остается в состоянии «Создан».

Версия 2023.6

[ Новая функциональность ]

  • [Android] Получение информации об экспортируемых/публичных компонентах приложения. Добавление информационных дефектов:

    • Экспортированные Broadcast Receivers.
    • Экспортированные Content Providers.
    • Экспортированные Services.
    • Экспортированные Activity.

  • [iOS] Новый модуль «Обход проверок окружения». Функциональность обхода проверки на Jailbreak с детальной настройкой модуля.

  • [iOS] Функциональность сбора информации из KeyChain и анализ корректности хранения полученной информации. Новые уязвимости:

    • Небезопасный класс защиты данных для элемента KeyChain.
    • Хранение sensitive-информации в KeyChain.
    • Повторный поиск ранее найденной информации в элементах KeyChain.

  • [iOS] Новый модуль по анализу использования пользовательских клавиатур в приложении. Новые уязвимости:

    • Приложение не запрещает использование пользовательских клавиатур в приложении.
    • Приложение потенциально не запрещает использование пользовательских клавиатур в приложении.

  • [Android] Новый модуль активных проверок (DAST) для взаимодействия с приложением методом черного ящика. Новые уязвимости:

    • SQL-инъекция в ContentProvider.
    • Path Traversal в ContentProvider.
    • Произвольные данные обновляются в ContentProvider.
    • Произвольные данные вставляются в ContentProvider.
    • Произвольные данные отправляются в ContentProvider.

  • Добавление автоматического поиска и валидации ключей от third-party сервисов, включая составные значения в части:

    • токена Twitter;
    • ключей SoftLayer;
    • ключей Mailchamp;
    • ключей Facebook;
    • ключей Linkedin;
    • ключей IBM Cloud IAM;
    • ключей Cloudant;
    • ключей AWS;
    • ключей Mailgun;
    • ключей Twillio;
    • ключей Stripe;
    • App id/client secret для сервиса Square.

  • Добавление настройки исключений для поиска чувствительной информации в правилах.

  • Возможность переопределения критичности выявляемых уязвимостей на уровне правил.

  • Добавление возможности загрузки приложений из магазинов приложений и систем дистрибуции:

    • Huawei AppGallery.
    • AppCenter.
    • Firebase.

  • Добавление мониторинга и автоматического сканирования новых версий из магазинов приложений и систем дистрибуции:

    • Huawei AppGallery.
    • AppCenter.
    • Firebase.

  • [iOS] Добавление функциональности внесения записей в файл /etc/hosts по аналогии с Android.

  • Добавление нового уровня критичности для уязвимостей и его автоматическое скрытие из результатов сканирования для уменьшения количества ложных срабатываний.

[ Доработки текущей функциональности ]

  • [iOS] Переработка и стабилизация процесса записи экрана при создании тестового сценария или автоматического сканирования в iOS-приложениях.

  • Добавление настройки параметров генерации отчета по сканированию.

  • Уточнение правил поиска банковских карт и других чувствительных данных.

  • Добавление настроек для различных модулей анализа.

  • Функциональность автоматического перезапуска агентов сканирования для увеличения стабильности работы.

  • Функциональность автоматического реиндекса базы данных для улучшения производительности.

  • Улучшение обхода проверок окружения для Android.

  • Добавлена возможность экспорта отчета по сканированию в формате JSON.

[ Bugfix ]

  • Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия».

  • [UI] Поправлены переводы на английский язык.

  • [Android] Устранение причин падений при сканировании приложений с Google-картами.

  • [Android] Исправление загрузки файлов формата aab и apks.

  • Исправление ошибки при загрузке больших файлов.

  • [UI] Исправление отображения собранных данных.

  • Исправлена ошибка изменения данных пользователя при аутентификации через LDAP.

  • Исправлена ошибка модуля IAST для некоторых приложений Android и iOS.

[ Supporting Features ]

  • Обновление списка рекомендаций по уязвимостям.

  • Внешний сервис по уведомлениям о проведенных сканированиях по электронной почте.

  • Обновленные видео-гайды по работе с инструментом.

К началу