Описание релизов

Release Notes

Список версий:

Версия 2022.03.0

Версия 2021.12.0

Версия 2.6

Версия 2.5

Версия 2.4

Версия 2.3

Версия 2.2

Версия 2.1

Версия 2.0

Версия 1.4

Версия 1.3

Версия 2022.03.0

текущая версия

[Новая функциональность]

  • В сканирование Android добавлена проверка на обход root-доступа;
  • Проверка «здоровья» агентов сканирования Android и iOS и автоматическое исправление возможных проблем;
  • Автоматическая проверка валидности найденных Google FCM-токенов/ключей для 18-ти сервисов с указанием стоимости запросов и URL для самостоятельной проверки;
  • Новый метод анализа Android приложений — tainted flow / IAST. Добавление новых уязвимостей, основанных на tainted-анализе:
    • Возможность подмены URL;
    • Возможность получения доступа к произвольному ContentProvider;
    • Возможность открытия произвольной URL в WebView;
    • Возможность получения доступа к произвольному файлу внутри директории приложения;
    • Возможность открытия произвольных внутренних компонентов приложения;
    • Возможность чтения/перезаписи произвольных файлов внутри директории приложения.
  • Реализация динамического сканирования iOS на реальных устройствах;
  • Автоматический мониторинг и исправление «здоровья» iOS-устройств;
  • Добавление новых уязвимостей iOS:
    • Хранение sensitive-информации в приватном файле;
    • Хранение sensitive-информации в кэше клавиатуры;
    • Хранение sensitive-информации в NSUserDefaults;
    • Включенное кэширование сетевых запросов;
    • Хранение чувствительной информации в Binary сookies;
    • Расширение ранее добавленных уязвимостей на файлы внутри директории приложения:
      • Приложение использует хранилище ключей с приватными ключами, защищёнными слабым паролем;
      • Приложение использует хранилище ключей со слабым паролем, содержащее закрытые ключи;
      • Приложение использует хранилище ключей со слабым паролем, содержащее открытые ключи;
      • Приложение использует файловое хранилище ключей;
      • Приложение хранит публичный ключ в директории/ресурсах приложения;
      • Приложение хранит приватный ключ/сертификат не защищенный паролем в директории/ресурсах приложения;
      • Хранение приватного ключа/сертификата защищенного паролем в директории/ресурсах приложения;
      • Хранение сертификата/ключа в директории/ресурсах приложения.
    • Полностью обновленный дизайн системы (FrontEnd):
      • Новый UI/UX на основе опросов текущих пользователей;
      • Адаптивный интерфейс под различные разрешения экрана;
      • Полностью переработанна архитектура приложения для оптимизации ресурсов и удобства пользователя.


[Доработки текущей функциональности]

  • Автоматическая отмена сканирований при перезапуске сканирующего агента;
  • Изменение логики работы удаления сущностей из системы;
  • Возможность задавать имя пакета, к которому привязывается проект в виде wildcard;
  • Добавлен источник обнаружения уязвимостей при сканировании с использованием интеграций с Appscreener и OverSecured;
  • Добавление возможности аутентификации через LDAP сервер без указания домена;
  • Удучшена работа с маппингом LDAP-групп;
  • Добавление возможности исключений для модуля по перехвату трафика Networking;
  • Доработка и корректировка ролевой модели пользователей;
  • Доработка методов отключения SSLPinning.


[Bugfix]

  • Исправление ошибок запуска сканирования на некоторых приложениях;
  • Исправление ошибок в модулях сканирований;
  • Синхронизация парольной политики на backend и frontend.


[Supporting Features]

  • Добавленны новый интеграции в CLI для автоматической загрузки приложений из:
    • Apple AppStore;
    • Firebase;
    • Google Play.
  • Исключение и обновление уязвимых библиотек из образов;
  • Новый процесс управления сканирующими агентами;
  • Обновление рекомендаций по устранению выявленных уязвимостей;
  • Добавление в состав продукта отдельной опции — «Интерактивные курсы по безопасности мобильных приложений».

Версия 2021.12.0

[Новая функциональность]

  • Добавлена интеграция с Active Directory / LDAP;
  • Возможность добавления нескольких серверов аутентификации;
  • Возможность настройки маппинга групп из Active Directory на группы в Stingray для автоматического назначения прав пользователям;
  • Добавлена привязка приложения к проекту и фильтрация связанных проектов при запуске сканирования.


[Доработки текущей функциональности]

  • Доработка логики анализа plist-файлов;
  • Реализован автоматическое вычисление максимальной роли пользователя на основе его участия в группах и персональных настроек;
  • Исправлены сортировки по умолчанию для ряда API.


[Bugfix]

  • Исправление ссылок на рекомендации;
  • Исправлено добавление пользователя с неуникальным именем;
  • Убрана кириллица из логов аудита.


[Supporting Features]

  • Обновление уязвимых компонент до актуальных версий;
  • Разработан автоматический скрипт по подготовке iOS-устройств для подключению к Stingray.

Версия 2.6

[Доработки текущей функциональности​]

  • Обновление иконки проекта при первом сканировании;
  • Добавление описаний ко всем API в swagger;
  • Добавление описаний в API каким ролям доступен вызов;
  • Реализация «прозрачного» проксирования трафика Android-приложений;
  • Доработки UI.


[Bugfix]

  • Устранение выявленных ошибок в ролевой модели пользователей;
  • Исправление периодического повторного запуска задач;
  • Устранение ошибок обратки файлов iOS.


[Supporting Features]

  • Разработан плагин для импорта HAR-файлов в Burp Suite для дальнейшего ручного или автоматизированного анализа API
    https://github.com/Dynamic-Mobile-Security/burp-har-importer ;
  • Добавлено описание интеграции с Netsparker / Burp Suite / Acunetix;
  • Удалены неиспользуемые API.

Версия 2.5

[Новая функциональность]

  • Добавлена возможность отключения SSLPinning;
  • Добавлена новая уязвимость «Отсутствует или некорректно реализован SSLPinning»;
  • Полностью переработана ролевая модель пользователей;
  • Добавлены административные права доступа для определения роли пользователя в системе;
  • Добавлены проектные роли для определения роли пользователя в конкретном проекте;
  • Добавлена возможность объединения пользователей в группы;
  • Добавлена возможность назначения группам различных прав (административных и проектных);
  • Новые уязвимости для Android;
  • Небезопасные настройки в AndroidManifest.xml. Флаг android:hasFragileUserData;
  • Небезопасные настройки в AndroidManifest.xml. Флаг android:requestLegacyExternalStorage;
  • Возможность добавления исключений напрямую со страницы результатов сканирования;
  • Возможность выгрузки сетевого трафика в формате HAR для дальнейшего импорта в инструменты анализа API.

[Доработки текущей функциональности]

  • При ошибках, когда приложение не запускается, реализован «Снимок экрана» для упрощения понимания причин возникновения ошибки;
  • При отсутствии необходимости в запуске приложения, оно не запускается, а сразу происходит этап анализа;
  • Доработка правил анализа и исключений на основе данных о проведенных сканированиях;
  • Увеличен выводимый контент файлов для просмотра до 5000 символов;
  • Доработка получения информации о работе приложения по модулям с собранными данными;
  • Доработки логов аудита системы, вывод в формате json;
  • Интеграция с AppScreener расширена на iOS.

[Bugfix]

  • Исправление недочетов/ошибок в UI;
  • Исправление проверки корректного запуска приложения;
  • Исправление данных в модуле «Отслеживание Broadcast Receiver».

[Supporting Features]

  • Добавление и обновление рекомендаций по устранению уязвимостей.

Версия 2.4

[Новая функциональность]

  • Интеграция с системой OverSecured для статического анализа;
  • Интеграция с системой Appscreener для статического анализа;
  • При загрузке приложения, которое уже было просканировано в системе оно не загружается еще раз, а используется загруженный ранее файл;
  • Добавление исключений ко всем уязвимостям в сканировании, отмеченным как ложное срабатывание;
  • Добавление исключения к конкретной уязвимости в сканировании;
  • Получение содержимого файлов в результатах сканирования.

 

[Доработки текущей функциональности]

  • В рамках проекта стало возможным сканирование только одного приложения;
  • Фильтрация доступных для выбора архитектур по активным сканирующим агентам;
  • Подсветка синтаксиса в результатах сканирования и собранных данных;
  • Более информативное отображение ошибок;
  • Возможность отменять запущенные тест-кейсы;
  • Изменен порядок выбора полей при старте сканирования или записи тест-кейса;
  • Добавлена возможность скачивания логов записи тест-кейса;
  • При выгрузке отчета ограничивается выводимая информация;
  • Доработка правил сканирования;
  • В уязвимости «Поиск ранее обнаруженной информации» добавлен поиск по модифицированным данным (md5, sha1, sha256, sha512, base64).

 

[Bugfix]

  • Исправлена ошибка отображения экрана устройства;
  • Исправлена ошибка модуля при отсутствии интернета при проверке корректности ключей FCM/GCM;
  • Исправление работы очереди сканирования;
  • Исправлена работа с изменением hosts в системе;
  • Обработка некорректных кодировок при сканировании;
  • Исправление ошибок в UI.

 

[Supporting Features]

  • Добавлена возможность запуска CLI при помощи готового docker-контейнера;
  • Параметр архитектуры в CLI стал не обязательным;
  • Добавлена возможность установки всех новых параметров при установке в значения по умолчанию;
  • Исправление уязвимостей и обновление библиотек до неуязвимых версий.

Версия 2.3

[Новая функциональность]

  • Добавление возможности изменения и управления парольной политикой.
  • Реализация механизма Captcha и изменение логики работы аутентификации.
  • Добавление возможности скачивания лога сканирования из интерфейса приложения.
  • Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
  • Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
  • Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
  • Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
  • При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
  • Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.

[Новые уязвимости]

  • [iOS] Наличие Podfile в собранном пакете приложения.
  • [iOS] Наличие скриптов сборки в собранном пакете приложения.

[Доработки текущей функциональности]

  • Улучшение валидации при воспроизведении тестовых сценариев во время автоматического сканирования.
  • Добавлен читаемый формат сообщения об ошибках.
  • Проведена работа над безопасностью системы.
  • Улучшено логирования при запуске сканирования и записи тестовых сценариев.
  • Реализован автоматический выбор архитектуры при автоматическом сканировании с тестовым сценарием.
  • В CLI добавлена возможность сканирования без указания тестового сценария.
  • Переработка UI для разделов «Запуск сканирования» и «Результаты сканирования».

[Bugfix]

  • Исправление продолжающихся запросов на получение на статуса после ухода со страницы запуска сканирования.
  • Улучшение стабильности работы сканирующих агентов, исправление ошибок, влияющих на процесс сканирования.
  • Исправление ошибок в нескольких модулях.
  • Исправление ошибки «белого экрана» при записи тестового сценария или запуска сканирования из очереди.
  • Исправление некорректного обновления токенов доступа при перезагрузке страницы.

Версия 2.2

[Новая функциональность]

  • Реализован механизм загрузки результатов непосредственно со страницы выявленной уязвимости.
  • Возможность просмотреть уязвимости на основе которых был найден дефект “Хранение ранее найденной чувствительной информации”.
  • Добавлены настройки модулей: SAST, Networking, Поиск чувствительной информации.
  • Добавлена возможность скачивать PDF отчет по конкретной уязвимости.
  • Добавлена двухфакторная аутентификация при помощи Google Authenticator.
  • Добавлена возможность удаления сканирований.
  • Добавлена возможность скачивания проанализированного приложения.
  • Добавлена возможность завершения записи тесткейса из таблицы со списком тесткейсов.
  • В API добавлена возможность фильтрации уязвимостей при попадании в отчет.
  • В API добавлен механизм управления сканирующими агентами.
  • В API добавлена возможность обновления файла /etc/hosts на сканирующих агентах.
  • В случае, если приложение завершило работу аварийно — производится поиск дефектов по тем данным, что удалось собрать.

[Новые уязвимости]

  • [Android][iOS] Поиск ключей/сертификатов в ресурсах и файлах приложения (публичных, приватных, ключевых хранилищ и т.д.).
  • [Android] Поиск значений Cookie в стандартных базах WebView.
  • [Android] Поиск чувствительных данных в кэше клавиатуры.

[Доработки текущей функциональности]

  • Автоматическая проверка ключей GCM/FCM на возможность отправки push-сообщений (проверка валидности ключей и их скоупа).
  • Изменение группировки уязвимостей. Теперь при нахождении нескольких уязвимостей, связанных одной чувствительной информацией, они будут представлены в рамках одной уязвимости с несколькими результатами.
  • Запуск сканирования происходит только после полной загрузки приложения, когда основная Activity находится на переднем плане.
  • Ряд улучшений в UI.
  • Обновление системных компонентов до актуальных версий.

[Bugfix]

  • Исправлено неверное отображение иконки приложения для некоторых приложений
  • Исправление записи тесткейсов на 11-м Android (проблема с записью с клавиатуры)
  • Исправление ряда функциональных дефектов

Версия 2.1

  • Поддержка сканирований iOS приложений;
  • Поддержка BCA (Byte Code Analisys) для приложений на платформе iOS;
  • Поддержка статического анализа для приложений на платформе Android;
  • Добавлены новые типы обнаруживаемых уязвимостей на платформах iOS и Android (суммарно 45 типов дефектов);
  • Документация перенесена в поставку продукта (возможен просмотр без доступа к сети интернет);
  • В документацию добавлена инструкция по установке;
  • Полноценная локализация продукта для английского языка;
  • Добавлена возможность просмотра видео сформированного в системе автотеста;
  • Опубликована новая версия cli (command line interface) с возможностью установки в качестве python пакета;
  • Добавлены настройки в ранее реализованные модули;

Версия 2.0

  • Изменение подхода работы со сканирующими агентами. Выбор версии системы, на которой необходимо выполнить проверку вместо выбора конкретного агента;
  • Управление сканирующими агентами из интерфейса системы;
  • Добавление функциональности очередей сканирования;
  • Валидация успешности прохождения тесткейсов при автоматическом сканировании. Обнаружение расхождения воспроизводимого сценария с записанным ранее;
  • Возможность просмотра видео прошедшего автоматического сканирования;
  • Возможность просмотра видео записанного тесткейса;
  • Изменение/добавление правил анализа для всех приложений на уровне организации и отдельно для конкретного приложения;
  • Более точное определение дефектов, связанных с системными компонентами (Activity, Service, Broadcast и т.д.)
  • Добавлены новые правила для поиска чувствительной информации;
  • Добавлены новые правила динамического анализа;
  • Динамический поиск чувствительной (sensitive) информации (при нахождении дефекта связанного с чувствительной информацией будет проведен повторный поиск значения по всем собранным данным);
  • Возможность скачивания собранной информации во время работы приложения (как отдельного модуля, так и всю информацию по сканированию);
  • Формирование pdf-отчетов о результатах сканирования.
    Обновление и детализация рекомендаций по устранению найденных дефектов;
  • Перенос рекомендаций по устранению дефектов в поставку продукта (возможен просмотр без доступа к сети интернет);
  • Упрощенный вариант установки on-premise благодаря наличию интерактивного Wizard по установке;
  • Открытый API со swagger для упрощения интеграции системы;
  • CLI для интеграции в системы непрерывной сборки приложений (CI/CD);

Версия 1.4

  • Добавлено обнаружение 10 новых типов уязвимостей (всего 31 тип уязвимостей);
  • Добавлены новые правила поиска уязвимостей;
  • Добавлен модуль для сбора информации о проводимых SQL-запросах (всего 14 активных модулей);
  • Добавлено расширенное описание рекомендаций по устранению дефектов для части категорий;
  • Улучшена производительность и скорость анализа приложений;
  • Добавлен функционал проверки на соответствия стандартам информационной безопасности;
  • Добавлена возможность создания собственного стандарта безопасности и проверка на соответствие ему;
  • Добавлена корреляция найденных уязвимостей с предыдущими результатами;
  • Добавлена интеграция с системой дистрибуции AppCenter;
  • Добавлена возможность управления состояниями приложениями (установка с нуля или сохранение предыдущего состояния);
  • Добавлена возможность блокировки/разблокировки пользователей из интерфейса системы;
  • Исправление дефектов;

Версия 1.3

  • Добавлено обнаружение 8 новых типов уязвимостей (всего 21 тип уязвимостей);
  • Добавлены новые правила поиска уязвимостей;
  • Добавлены модули по сбору и анализу информации из дампа памяти приложения (Heap Dump), сбор и поиск информации в базах данных приложений (App Databases), отслеживание операций с внешними и внутренними сервисами (Services) (всего 13 активных модулей);
  • Разработан CLI (Command Line Interface) для упрощения интеграции в процесс разработки;
  • Добавлена интеграция с системой дистрибуции HockeyApp;
  • Добавлена возможность авторизации по токену для интеграции с системами CI/CD;
  • Добавлена возможность модификации и добавления правил поиска уязвимостей пользователем из интерфейса системы;
  • Доработана ролевая модель пользователей;
  • Добавлено визуальное отображение статистики по сканированию;