Описание релизов
Важно
Начиная с версии 2024.5, в системе реализован механизм лицензирования.
При переходе на версию 2024.5 необходимо убедиться в наличии файла лицензии Стингрей. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения установить лицензию, см. раздел «Лицензирование».
Важно
Обновление до 2024.5 требует выполнения ряда дополнительных шагов как перед обновлением, так и после обновления перед запуском системы, детали см. в разделе «Обновление до 2024.5».
Версия 2024.5.1
[ Bugfix ]
Возврат на домашний экран перед сканированием.
Обработка конфига для внешнего сервиса байткод-анализа, если он не настроен.
Исправлена ошибка переустановки приложения для активных проверок.
Добавлены задержки delay при запуске эмулятора Android для работы на менее мощных системах.
Версия 2024.5
[ Новая функциональность ]
Android. Добавлены активные проверки для экспортированных Activity. Новые обнаруживаемые уязвимости:
- Ошибка в приложении при работе через IPC.
- Возможность опосредованного запуска приватных Activity.
- Возможность запуска произвольного Intent с помощью схемы intent://.
- Возможность запуска произвольной Активности через Intent.
Android. Добавлены активные проверки для Deeplink. Новые обнаруживаемые уязвимости:
- Возможность подмены URL.
- Возможность открытия произвольной URL в WebView.
- Возможность открытия произвольных данных в контексте WebView.
Android. Добавлены активные проверки для фрагментов при использовании JetPack Navigation. Новые обнаруживаемые уязвимости:
- Приложение использует уязвимую навигацию.
- Доступ к произвольному Фрагменту с помощью Интента.
Android. Реализован разбор Permissions в приложении. Новые обнаруживаемые уязвимости:
- Небезопасный protectionLevel у разрешения.
- Неверное пространство имён у разрешения.
- У компонента выставлен неверный атрибут вместо android:permission, возможно android:uses-permission.
- Приложение использует необъявленное разрешение.
- Приложение не использует объявленное разрешение.
- Небезопасный доступ к ContentProvider.
- ContentProvider использует одинаковые разрешения на чтение и запись.
- Указан небезопасный путь к ContentProvider.
- Опасные разрешения, заданные разработчиком.
- Разрешения, заданные разработчиком.
- Опасные группы разрешений, заданные разработчиком.
- Группы разрешений, заданные разработчиком.
- Использование опасных разрешений.
- Разрешения, используемые приложением.
Android. Добавление нового модуля анализа байт-кода для выявления уязвимостей методом Taint-анализа. Новые обнаруживаемые уязвимости:
- Данные из сторонних источников могут привести к RCE.
- Данные из сторонних источников используются в FileResolver.
- Данные из сторонних источников формируют Intent.
- Данные из сторонних источников могут попасть в WebView JS.
- Данные из сторонних источников формируют SQL-выражение.
- Данные из EditText попадают в WebView.loadurl().
- Данные из EditText попадают в файл.
Android, iOS. Добавлен способ обнаружения небезопасно настроенного сервиса Firebase Remote Config при поиске мультисекретов.
Общее. Изменение логики работы сканирующих агентов, снижение нагрузки и ускорение запуска сканирования.
Общее. Изменение работы с лицензиями, отображение текущих ограничений, загрузка новых лицензий.
Стандарты и требования. Реализован маппинг CWE уязвимостей на уязвимости Стингрей.
Стандарты и требования. Добавлен стандарт соответствия сертификации MirPay.
Android. Добавлена возможность добавления пользовательских заголовков во все запросы от приложения.
[ Доработки текущей функциональности ]
Android. Добавлена возможность отключать перехват сообщений в WebSocket.
Интеграции. Поддержка постоянного логина и сессии в App Store.
Интеграции. добавлена возможность останавливать мониторинг версий в магазинах дистрибуций после 3 неудачных попыток.
Рекомендации. Обновлено описание для многих уязвимостей.
Общее. Добавлена возможность использования внешней БД при установке On-Premise.
Android. Изменение логики отображения уязвимости про проверку на root-доступ и эмулятор.
UI. Теперь просмотреть логи из интерфейса можно в любой момент времени, а не только при анализе.
Android. Доработана логика настроек модуля «Обход проверок окружения».
[ Bugfix ]
Android, iOS. Исправлена ошибка с определением некоторых типов файлов во время анализа.
iOS. Исправлена ошибка в очереди, когда сканирование с iOS14 уходило на iOS15.
Android. Исправлена ошибка с частичной декомпиляцией приложения.
Версия 2023.12
[ Новая функциональность ]
Полностью новый формат отчета о сканировании.
Android: Разделение уязвимостей, связанных с шифрованием, добавление новых типов уязвимостей.
Android: Добавление возможности отключения использования протокола http/2 во время перехвата трафика.
Android: Добавление возможности отключения небезопасных соединений во время перехвата трафика.
Android: Реализована проверка SBOM-файла на возможность атаки на цепочку поставок (проверка компонент с открытым исходным кодом).
[ Доработки текущей функциональности ]
Android, iOS: Убрали ограничение на версию ОС для записи и воспроизведения тест-кейсов.
Android: Улучшение обхода проверок окружения.
UI: Изменение интерфейса, добавление поддержки различных разрешений экрана.
UI: Автозаполнение имени пакета при формировании задач мониторинга.
UI: Добавлена пагинация наверху всех таблиц.
UI: Автозаполнение учетных записей для интеграций при формировании строки запуска в конструкторе CLI.
Android, iOS: Добавлено ограничение по времени на запись тестовых сценариев.
[ Bugfix ]
iOS: Исправлен дефект в модуле дампа расшифрованного исполняемого файла.
Исправлена проблема с запуском некоторых Flutter-приложений.
Исправлена проблема с автоматическим пересозданием агентов во время процесса анализа.
Android, iOS: Исправлена ошибка с определением некоторых типов файлов во время анализа.
Версия 2023.10
[ Новая функциональность ]
iOS: добавлена поддержка iOS 15 и 16 в качестве сканирующих агентов.
Android: обход защиты приложений, использующих библиотеки, защищенные DexGuard.
Android: реализована фильтрация экспортированных компонентов при срабатывании правил IAST.
IOS: добавлен функционал проверки состояния Wi-Fi/сотовых данных и функционал их включения/отключения.
Android: новая уязвимость «Использована трансформация ECB для шифрования данных, превышающих размер блока» в модуле криптографии.
[ Доработки текущей функциональности ]
UI: сохранение открытой информации о выбранном дефекте при обновлении страницы.
UI: возможность перехода на конкретный дефект по прямой ссылке.
UI: добавление пагинации сверху всех таблиц.
UI: автоматическая подстановка имени пакета при настройке мониторинга.
UI: возможность перенаправления на указанную страницу после аутентификации пользователя.
iOS: улучшение работы модуля «Обход проверок окружения».
Android: добавление информации о том, где было найдено срабатывание в модуле «Криптография» (класс/файл).
Android: связь активных проверок и модуля интерактивного анализа.
[ Bugfix ]
CLI: устранение ошибки Google Play вида — DF-DFERH-01 при условии, что нет версии кода приложения в ответе от google api.
Стингрей: исправлена ошибка, когда в отчет в формате JSON не попадали названия уязвимостей.
[ Supporting Features ]
Исправлены падения в клиентских приложениях.
CLI: реализован вывод логов в stdout.
Версия 2023.9
[ Новая функциональность ]
Добавлен новый модуль «Мониторинг системного журнала», который позволяет получить полный лог системного журнала в момент проведения сканирования для улучшения анализа работы приложения.
[ Доработки текущей функциональности ]
Теперь сканирование завершается со статусом «Отменен», если в профиле отсутствуют активные модули.
Доработан модуль «Обход проверок окружения» для iOS. Добавлен обход проверки загруженных в память библиотек.
[ Bugfix ]
Доработка логики работы с правилами. Проверка на использование глобальных флагов в пользовательских правилах.
Доработка поддержки интеграции с RuStore.
Результаты сканирования: поддержка скачивания сертификатов из дефектов.
Исправлено необработанное исключение при попытке обращения к несуществующему файлу во время проведения анализа.
Устранена ошибка записи в файлы аудита при нескольких одновременных обращениях к одному файлу.
Исправлено зависание iOS-агента при несовпадении модели устройства, указанной в базе и по факту.
Устранена ошибка модуля IAST во время анализа приложения.
LDAP: устранена ошибка «Duplicated key», получаемая в результате миграций.
Исправлены проблемы, мешающие работе некоторых приложений.
[ Supporting Features ]
mdast_cli: устранена ошибка, при которой без активных устройств сканирование остается в состоянии «Создан».
Версия 2023.6
[ Новая функциональность ]
Android. Получение информации об экспортируемых/публичных компонентах приложения. Добавление информационных дефектов:
- Экспортированные Broadcast Receivers.
- Экспортированные Content Providers.
- Экспортированные Services.
- Экспортированные Activity.
iOS. Новый модуль «Обход проверок окружения». Функциональность обхода проверки на Jailbreak с детальной настройкой модуля.
iOS. Функциональность сбора информации из KeyChain и анализ корректности хранения полученной информации. Новые уязвимости:
- Небезопасный класс защиты данных для элемента KeyChain.
- Хранение sensitive-информации в KeyChain.
- Повторный поиск ранее найденной информации в элементах KeyChain.
iOS. Новый модуль по анализу использования пользовательских клавиатур в приложении. Новые уязвимости:
- Приложение не запрещает использование пользовательских клавиатур в приложении.
- Приложение потенциально не запрещает использование пользовательских клавиатур в приложении.
Android. Новый модуль активных проверок (DAST) для взаимодействия с приложением методом черного ящика. Новые уязвимости:
- SQL-инъекция в ContentProvider.
- Path Traversal в ContentProvider.
- Произвольные данные обновляются в ContentProvider.
- Произвольные данные вставляются в ContentProvider.
- Произвольные данные отправляются в ContentProvider.
Добавление автоматического поиска и валидации ключей от third-party сервисов, включая составные значения в части:
- токена Twitter;
- ключей SoftLayer;
- ключей Mailchamp;
- ключей Facebook;
- ключей Linkedin;
- ключей IBM Cloud IAM;
- ключей Cloudant;
- ключей AWS;
- ключей Mailgun;
- ключей Twillio;
- ключей Stripe;
- App id/client secret для сервиса Square.
Добавление настройки исключений для поиска чувствительной информации в правилах.
Возможность переопределения критичности выявляемых уязвимостей на уровне правил.
Добавление возможности загрузки приложений из магазинов приложений и систем дистрибуции:
- Huawei AppGallery.
- AppCenter.
- Firebase.
Добавление мониторинга и автоматического сканирования новых версий из магазинов приложений и систем дистрибуции:
- Huawei AppGallery.
- AppCenter.
- Firebase.
iOS. Добавление функциональности внесения записей в файл /etc/hosts по аналогии с Android.
Добавление нового уровня критичности для уязвимостей и его автоматическое скрытие из результатов сканирования для уменьшения количества ложных срабатываний.
[ Доработки текущей функциональности ]
iOS. Переработка и стабилизация процесса записи экрана при создании тестового сценария или автоматического сканирования в iOS-приложениях.
Добавление настройки параметров генерации отчета по сканированию.
Уточнение правил поиска банковских карт и других чувствительных данных.
Добавление настроек для различных модулей анализа.
Функциональность автоматического перезапуска агентов сканирования для увеличения стабильности работы.
Функциональность автоматического реиндекса базы данных для улучшения производительности.
Улучшение обхода проверок окружения для Android.
Добавлена возможность экспорта отчета по сканированию в формате JSON.
[ Bugfix ]
Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия».
UI. Поправлены переводы на английский язык.
Android. Устранение причин падений при сканировании приложений с Google-картами.
Android. Исправление загрузки файлов формата aab и apks.
Исправление ошибки при загрузке больших файлов.
UI: Исправление отображения собранных данных.
Исправлена ошибка изменения данных пользователя при аутентификации через LDAP.
Исправлена ошибка модуля IAST для некоторых приложений Android и iOS.
[ Supporting Features ]
Обновление списка рекомендаций по уязвимостям.
Внешний сервис по уведомлениям о проведенных сканированиях по электронной почте.
Обновленные видео-гайды по работе с инструментом.