Вышел новый релиз платформы Стингрей.
Стингрей – платформа автоматизированного анализа защищённости мобильных приложений. Выявляет более 60 типов уязвимостей в iOS и Android приложениях. Снижает затраты на устранение проблем безопасности за счет автоматизации.
Демонстрация изменений нового релиза:
Новая функциональность в релизе 2023.6: — Android.
Получение информации об экспортируемых\публичных компонентах приложения Android.
Добавление информационных дефектов:
- Экспортированные Broadcast Receivers
- Экспортированные Content Providers
- Экспортированные Services
- Экспортированные Activity — Android.
Новый модуль активных проверок (DAST), для взаимодействия с приложением методом черного ящика.
Новые уязвимости:
- · SQL-инъекция в ContentProvider
- · Path Traversal в ContentProvider
- · Произвольные данные обновляются в ContentProvider
- · Произвольные данные вставляются в ContentProvider
- · Произвольные данные отправляются в ContentProvider — IOS.
Новый модуль «Обход проверок окружения».
Функциональность обхода проверки на Jailbreak с детальной настройкой модуля;
IOS. Функциональность сбора информации из Keychain и анализ корректности хранения полученной информации.
Новые уязвимости:
- Небезопасный класс защиты данных для элемента KeyChain
- Хранение sensitive-информации в KeyChain
- Повторный поиск ранее найденной информации в элементах KeyChain
- iOS. Новый модуль по анализу использования пользовательских клавиатур в приложении.
Новые уязвимости:
- Приложение не запрещает использование пользовательских клавиатур в приложении;
- Приложение потенциально не запрещает использование пользовательских клавиатур в приложении
- iOS. Добавление функциональности внесения записей в файл /etc/hosts по аналогии с Android
Добавление функциональности автоматического поиска и валидации ключей от Third-party сервисов, включая составные значения в части:
- токена Twitter
- ключей SoftLayer
- ключей Mailchamp
- ключей Facebook
- ключей Linkedin
- ключей IBM Cloud IAM
- ключей Cloudant
- ключей AWS
- ключей Mailgun
- ключей Twillio
- ключей Stripe
- App id/client secret для сервиса Square
Добавление настройки исключений для поиска чувствительной информации в правилах;
Возможность переопределение критичности выявляемых уязвимостей на уровне правил;
Добавление возможности загрузки приложений из магазинов приложений и систем дистрибуции:
- Huawei AppGallery
- AppCenter
- Firebase
Добавление функционала мониторинга и автоматического сканирования новых версий из магазинов приложений и систем дистрибуции:
- Huawei AppGallery
- AppCenter
- Firebase
Добавление нового уровня критичности для уязвимостей и его автоматическое скрытие из результатов сканирования для уменьшения количества ложных срабатываний Так же в релиз вошли исправления найденных ошибок и доработки текущей функциональности.
