Описание релизов

Версия 2022.03.0

Версия 2021.12.0

Версия 2.6

Версия 2.5

Версия 2.4

Версия 2.3

Версия 2022.03.0

[Новая функциональность]

  • В сканирование Android добавлена проверка на обход root-доступа;
  • Проверка «здоровья» агентов сканирования Android и iOS и автоматическое исправление возможных проблем;
  • Автоматическая проверка валидности найденных Google FCM-токенов/ключей для 18-ти сервисов с указанием стоимости запросов и URL для самостоятельной проверки;
  • Новый метод анализа Android приложений — tainted flow / IAST. Добавление новых уязвимостей, основанных на tainted-анализе:
    • Возможность подмены URL;
    • Возможность получения доступа к произвольному ContentProvider;
    • Возможность открытия произвольной URL в WebView;
    • Возможность получения доступа к произвольному файлу внутри директории приложения;
    • Возможность открытия произвольных внутренних компонентов приложения;
    • Возможность чтения/перезаписи произвольных файлов внутри директории приложения.
  • Реализация динамического сканирования iOS на реальных устройствах;
  • Автоматический мониторинг и исправление «здоровья» iOS-устройств;
  • Добавление новых уязвимостей iOS:
    • Хранение sensitive-информации в приватном файле;
    • Хранение sensitive-информации в кэше клавиатуры;
    • Хранение sensitive-информации в NSUserDefaults;
    • Включенное кэширование сетевых запросов;
    • Хранение чувствительной информации в Binary сookies;
    • Расширение ранее добавленных уязвимостей на файлы внутри директории приложения:
      • Приложение использует хранилище ключей с приватными ключами, защищёнными слабым паролем;
      • Приложение использует хранилище ключей со слабым паролем, содержащее закрытые ключи;
      • Приложение использует хранилище ключей со слабым паролем, содержащее открытые ключи;
      • Приложение использует файловое хранилище ключей;
      • Приложение хранит публичный ключ в директории/ресурсах приложения;
      • Приложение хранит приватный ключ/сертификат не защищенный паролем в директории/ресурсах приложения;
      • Хранение приватного ключа/сертификата защищенного паролем в директории/ресурсах приложения;
      • Хранение сертификата/ключа в директории/ресурсах приложения.
    • Полностью обновленный дизайн системы (FrontEnd):
      • Новый UI/UX на основе опросов текущих пользователей;
      • Адаптивный интерфейс под различные разрешения экрана;
      • Полностью переработанна архитектура приложения для оптимизации ресурсов и удобства пользователя.


[Доработки текущей функциональности]

  • Автоматическая отмена сканирований при перезапуске сканирующего агента;
  • Изменение логики работы удаления сущностей из системы;
  • Возможность задавать имя пакета, к которому привязывается проект в виде wildcard;
  • Добавлен источник обнаружения уязвимостей при сканировании с использованием интеграций с Appscreener и OverSecured;
  • Добавление возможности аутентификации через LDAP сервер без указания домена;
  • Удучшена работа с маппингом LDAP-групп;
  • Добавление возможности исключений для модуля по перехвату трафика Networking;
  • Доработка и корректировка ролевой модели пользователей;
  • Доработка методов отключения SSLPinning.


[Bugfix]

  • Исправление ошибок запуска сканирования на некоторых приложениях;
  • Исправление ошибок в модулях сканирований;
  • Синхронизация парольной политики на backend и frontend.


[Supporting Features]

  • Добавленны новый интеграции в CLI для автоматической загрузки приложений из:
    • Apple AppStore;
    • Firebase;
    • Google Play.
  • Исключение и обновление уязвимых библиотек из образов;
  • Новый процесс управления сканирующими агентами;
  • Обновление рекомендаций по устранению выявленных уязвимостей;
  • Добавление в состав продукта отдельной опции — «Интерактивные курсы по безопасности мобильных приложений».

Версия 2021.12.0

[Новая функциональность]

  • Добавлена интеграция с Active Directory / LDAP;
  • Возможность добавления нескольких серверов аутентификации;
  • Возможность настройки маппинга групп из Active Directory на группы в Stingray для автоматического назначения прав пользователям;
  • Добавлена привязка приложения к проекту и фильтрация связанных проектов при запуске сканирования.


[Доработки текущей функциональности]

  • Доработка логики анализа plist-файлов;
  • Реализован автоматическое вычисление максимальной роли пользователя на основе его участия в группах и персональных настроек;
  • Исправлены сортировки по умолчанию для ряда API.


[Bugfix]

  • Исправление ссылок на рекомендации;
  • Исправлено добавление пользователя с неуникальным именем;
  • Убрана кириллица из логов аудита.


[Supporting Features]

 

  • Обновление уязвимых компонент до актуальных версий;
  • Разработан автоматический скрипт по подготовке iOS-устройств для подключению к Stingray.

Версия 2.6

[Доработки текущей функциональности​]

  • Обновление иконки проекта при первом сканировании;
  • Добавление описаний ко всем API в swagger;
  • Добавление описаний в API каким ролям доступен вызов;
  • Реализация «прозрачного» проксирования трафика Android-приложений;
  • Доработки UI.


[Bugfix]

  • Устранение выявленных ошибок в ролевой модели пользователей;
  • Исправление периодического повторного запуска задач;
  • Устранение ошибок обратки файлов iOS.


[Supporting Features]

  • Разработан плагин для импорта HAR-файлов в Burp Suite для дальнейшего ручного или автоматизированного анализа API
    https://github.com/Dynamic-Mobile-Security/burp-har-importer ;
  • Добавлено описание интеграции с Netsparker / Burp Suite / Acunetix;
  • Удалены неиспользуемые API.

Версия 2.5

[Новая функциональность]

  • Добавлена возможность отключения SSLPinning;
  • Добавлена новая уязвимость «Отсутствует или некорректно реализован SSLPinning»;
  • Полностью переработана ролевая модель пользователей;
  • Добавлены административные права доступа для определения роли пользователя в системе;
  • Добавлены проектные роли для определения роли пользователя в конкретном проекте;
  • Добавлена возможность объединения пользователей в группы;
  • Добавлена возможность назначения группам различных прав (административных и проектных);
  • Новые уязвимости для Android;
  • Небезопасные настройки в AndroidManifest.xml. Флаг android:hasFragileUserData;
  • Небезопасные настройки в AndroidManifest.xml. Флаг android:requestLegacyExternalStorage;
  • Возможность добавления исключений напрямую со страницы результатов сканирования;
  • Возможность выгрузки сетевого трафика в формате HAR для дальнейшего импорта в инструменты анализа API.

[Доработки текущей функциональности]

  • При ошибках, когда приложение не запускается, реализован «Снимок экрана» для упрощения понимания причин возникновения ошибки;
  • При отсутствии необходимости в запуске приложения, оно не запускается, а сразу происходит этап анализа;
  • Доработка правил анализа и исключений на основе данных о проведенных сканированиях;
  • Увеличен выводимый контент файлов для просмотра до 5000 символов;
  • Доработка получения информации о работе приложения по модулям с собранными данными;
  • Доработки логов аудита системы, вывод в формате json;
  • Интеграция с AppScreener расширена на iOS.

[Bugfix]

  • Исправление недочетов/ошибок в UI;
  • Исправление проверки корректного запуска приложения;
  • Исправление данных в модуле «Отслеживание Broadcast Receiver».

[Supporting Features]

  • Добавление и обновление рекомендаций по устранению уязвимостей.

Версия 2.4

[Новая функциональность]

  • Интеграция с системой OverSecured для статического анализа;
  • Интеграция с системой Appscreener для статического анализа;
  • При загрузке приложения, которое уже было просканировано в системе оно не загружается еще раз, а используется загруженный ранее файл;
  • Добавление исключений ко всем уязвимостям в сканировании, отмеченным как ложное срабатывание;
  • Добавление исключения к конкретной уязвимости в сканировании;
  • Получение содержимого файлов в результатах сканирования.

 

[Доработки текущей функциональности]

  • В рамках проекта стало возможным сканирование только одного приложения;
  • Фильтрация доступных для выбора архитектур по активным сканирующим агентам;
  • Подсветка синтаксиса в результатах сканирования и собранных данных;
  • Более информативное отображение ошибок;
  • Возможность отменять запущенные тест-кейсы;
  • Изменен порядок выбора полей при старте сканирования или записи тест-кейса;
  • Добавлена возможность скачивания логов записи тест-кейса;
  • При выгрузке отчета ограничивается выводимая информация;
  • Доработка правил сканирования;
  • В уязвимости «Поиск ранее обнаруженной информации» добавлен поиск по модифицированным данным (md5, sha1, sha256, sha512, base64).

 

[Bugfix]

  • Исправлена ошибка отображения экрана устройства;
  • Исправлена ошибка модуля при отсутствии интернета при проверке корректности ключей FCM/GCM;
  • Исправление работы очереди сканирования;
  • Исправлена работа с изменением hosts в системе;
  • Обработка некорректных кодировок при сканировании;
  • Исправление ошибок в UI.

 

[Supporting Features]

 

  • Добавлена возможность запуска CLI при помощи готового docker-контейнера;
  • Параметр архитектуры в CLI стал не обязательным;
  • Добавлена возможность установки всех новых параметров при установке в значения по умолчанию;
  • Исправление уязвимостей и обновление библиотек до неуязвимых версий.

Версия 2.3

 

[Новая функциональность]

  • Добавление возможности изменения и управления парольной политикой.
  • Реализация механизма Captcha и изменение логики работы аутентификации.
  • Добавление возможности скачивания лога сканирования из интерфейса приложения.
  • Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
  • Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
  • Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
  • Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
  • При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
  • Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.

 

[Новые уязвимости]

  • [iOS] Наличие Podfile в собранном пакете приложения.
  • [iOS] Наличие скриптов сборки в собранном пакете приложения.

 

[Доработки текущей функциональности]

  • Улучшение валидации при воспроизведении тестовых сценариев во время автоматического сканирования.
  • Добавлен читаемый формат сообщения об ошибках.
  • Проведена работа над безопасностью системы.
  • Улучшено логирования при запуске сканирования и записи тестовых сценариев.
  • Реализован автоматический выбор архитектуры при автоматическом сканировании с тестовым сценарием.
  • В CLI добавлена возможность сканирования без указания тестового сценария.
  • Переработка UI для разделов «Запуск сканирования» и «Результаты сканирования».

 

[Bugfix]

 

  • Исправление продолжающихся запросов на получение на статуса после ухода со страницы запуска сканирования.
  • Улучшение стабильности работы сканирующих агентов, исправление ошибок, влияющих на процесс сканирования.
  • Исправление ошибок в нескольких модулях.
  • Исправление ошибки «белого экрана» при записи тестового сценария или запуска сканирования из очереди.
  • Исправление некорректного обновления токенов доступа при перезагрузке страницы.