Описание релизов
Версия 2022.12
[Новая функциональность]
- Android. Возможность запуска Appium-скриптов в качестве тест-кейсов при автоматическом сканировании
- Android. Новый модуль по анализу корректности использования механизмов шифрования. Новые уязвимости:
- Слабый или устаревший алгоритм шифрования
- Простой вектор инициализации
- Слабый ключ шифрования
- Неверные параметры для алгоритма генерации ключа
- Использован уязвимый алгоритм хеширования
- Использована соль с низкой энтропией
- Возможно использовано слово как значение соли
- Android. В перехват сетевого трафика добавлена возможность перехвата сообщений WebSocket
- Новая уязвимость «Включение sensitive-информации в сообщения WebSocket»
- iOS. Добавление нового модуля интерактивного анализа (IAST) в сканирование iOS. Реализация Taint-анализа в динамике. Добавление новой уязвимости:
- Возможность открытия произвольной URL в WebView
- iOS. Дамп расшифрованного бинарного файла из памяти с устройства и анализ его содержимого на предмет чувствительной информации. Добавление новой уязвимости
- Хранение чувствительной информации в бинарном файле
- iOS. Возможность создания автоматического тест-кейса для iOS-приложений.
- Запись тестового сценария без необходимости написания кода
- Запись видео тестового сценария
- iOS. Поддержка автоматического сканирования с использованием записанных ранее тестовых сценариев.
- Новые стандарты для проверки соответствий требованиям:
- PCI DSS 4.0
- PCI Software Security Framework
- ОУД4
- ГОСТ-57580
- Интеграция с магазинами приложений:
- Apple AppStore
- Google Play
- RuStore
- Автоматическая загрузка приложений для сканирования или записи тестовых сценариев напрямую из магазинов приложений
- Мониторинг новых версий приложений из магазинов приложений и автоматический запуск сканирования
- Полностью переработана архитектура и дизайн UI
- Улучшена визуальная составляющая и пользовательский путь
- Переработана структура таблиц, фильтров, пагинации
- Добавлено сохранение фильтров при переходах между страницами
- Существенно оптимизирована скорость работы и загрузки страниц и данных
- Добавлены вкладки «Сканирования», «Тест-кейсы», «Интеграции» на страницу «Проект»
[Доработки текущей функциональности]
- Улучшен поиск уязвимости «Возможное выполнение произвольного кода»
- Улучшение методов обхода проверок на эмулятор
- Новый алгоритм работы Taint-анализа для Android, добавление определения новых уязвимостей и валидация ложных срабатываний:
- Возможность опосредованного запуска приватных Activity
- Возможность запуска произвольного кода
- Возможность доступа к произвольному файлу через loadDataWithBaseURL
- Возможность посылки произвольного широковещательного сообщения через Intent
- Возможность запуска произвольного Service через Intent
- Возможность запуска произвольной Activity через Intent
- Получение иконок из aab и zip
- Уточнение работы энтропийного анализа
- Автоматическое создание профиля для любого проекта при старте сканирования
- Настройка времени жизни сессии через переменные окружения
- Исключена нетехническая информация из отчета по сканированию
[Bugfix]
- Некорректное определение дефекта «Небезопасная конфигурация сетевого взаимодействия»
- Автоматическое создание проекта и профиля для разных архитектур с одинаковым именем пакета
- Игнорирование настройки логина и пароля для контейнера NEO4J
- Ошибки при загрузке файлов с Uppercase расширением
- Отображение информации в дефектах
[Supporting Features]
- Автоматическое создание проекта и профиля при запуске сканирования через CLI
- Интеграция с DefectDojo (https://github.com/Swordfish-Security/stingray-defectdojo)
- Поддержка Nexus2 в качестве системы дистрибуции при запуске сканирования через CLI
- Поддержка Huawei AppGallery в качестве системы дистрибуции при запуске сканирования через CLI
- Формирование строки запуска на странице «Интеграции»
Версия 2022.08
[Новая функциональность]
- Добавлен поиск чувствительной информации по энтропии;
- Добавлен модуль для Android «Проверка на root/emulator». В рамках данного модуля улучшены обходы проверок на root и добавлены обход проверок на эмулятор. В рамках данного модуля добавлены новые типы уязвимостей:
- Отсутствие проверки на root-доступ;
- Отсутствие проверки на запуск на эмуляторе;
- Отсутствие проверки целостности приложения;
- Недостаточная проверка на запуск на эмуляторе;
- Недостаточная проверка на root-доступ.
- Помимо стандартных apk, для Android-приложений доступна загрузка split-apk в виде архива и файлов формата aab;
- В поиск файлов от системы сборщика в модуле iOS добавлены типы файлов от CocoaPods: Podfile, Podfile.lock, Manifest.lock:
- Carthage;
- Accio / SwiftPM;
- Athena;
- Mint;
- Rome;
- SWM;
- Xcode Maven.
- Возможность автоматического создания проекта и профиля при запуске сканирования;
- Возможности настройки автоматической очистки старых сущностей.
[Доработки текущей функциональности]
- В агенты Android добавлен русский язык;
- Улучшена стабильность iOS-агентов;
- Оптимизирована скорость декомпиляции Android-приложений;
- На странице «проекты» в карточке профиля добавлен переход к рзультату сканирования при нажатии на значок с количеством багов;
- Примение настройки исключенных директорий и файлов в модуле «Файлы приложения» при повторном анализе (recalc);
- Добавлено независимость от регистра в настройках исключений директорий/имен файлов в модуле «Файлы приложения»;
- При сканировании на вкладке «Лог» реализована фильтрация по уровню логов;
- Доработка правил для более точного поиска JWT.
[Bugfix]
- Исправлено некорректное закрытие соединения с websocket при завершении сканирования;
- Исправление интеграции с AppScreener.
[Supporting Features]
- В CLI добавлена возможность загрузки split-apk из Google Play.
Версия 2022.06
[Новая функциональность]
- Добавлена функциональность по поиску и автоматической валидации токенов от сторонних сервисов:
- Slack
- Github
- JWT
- Facebook/Instagram
- Square
- Структурный анализ информации;
- Новый модуль в iOS — «Системный журнал».
[Доработки текущей функциональности]
- Добавлены настройки для модуля «Поиск ранее найденной чувствительной информации»;
- Добавлены настройки для модуля «Файлы приложения»;
- Добавлен снимок экрана устройства, в случае, если сканирование завершилось с ошибкой;
- Доработка защиты административной части системы;
- Улучшена проверка здоровья агентов сканирования Android;
- Улучшено отображение собранных данных.
[Bugfix]
- Исправление некоторых правил анализа для более точного определения.
[Supporting Features]
- Поддержка загрузки приложений для RuStore.
Версия 2022.04
[Новая функциональность]
- В сканирование Android добавлена проверка на обход root-доступа;
- Проверка «здоровья» агентов сканирования Android и iOS и автоматическое исправление возможных проблем;
- Автоматическая проверка валидности найденных Google FCM-токенов/ключей для 18-ти сервисов с указанием стоимости запросов и URL для самостоятельной проверки;
- Новый метод анализа Android приложений — tainted flow / IAST. Добавление новых уязвимостей, основанных на tainted-анализе:
- Возможность подмены URL;
- Возможность получения доступа к произвольному ContentProvider;
- Возможность открытия произвольной URL в WebView;
- Возможность получения доступа к произвольному файлу внутри директории приложения;
- Возможность открытия произвольных внутренних компонентов приложения;
- Возможность чтения/перезаписи произвольных файлов внутри директории приложения.
- Реализация динамического сканирования iOS на реальных устройствах;
- Автоматический мониторинг и исправление «здоровья» iOS-устройств;
- Добавление новых уязвимостей iOS:
- Хранение sensitive-информации в приватном файле;
- Хранение sensitive-информации в кэше клавиатуры;
- Хранение sensitive-информации в NSUserDefaults;
- Включенное кэширование сетевых запросов;
- Хранение чувствительной информации в Binary сookies;
- Расширение ранее добавленных уязвимостей на файлы внутри директории приложения:
- Приложение использует хранилище ключей с приватными ключами, защищёнными слабым паролем;
- Приложение использует хранилище ключей со слабым паролем, содержащее закрытые ключи;
- Приложение использует хранилище ключей со слабым паролем, содержащее открытые ключи;
- Приложение использует файловое хранилище ключей;
- Приложение хранит публичный ключ в директории/ресурсах приложения;
- Приложение хранит приватный ключ/сертификат не защищенный паролем в директории/ресурсах приложения;
- Хранение приватного ключа/сертификата защищенного паролем в директории/ресурсах приложения;
- Хранение сертификата/ключа в директории/ресурсах приложения.
- Полностью обновленный дизайн системы (FrontEnd):
- Новый UI/UX на основе опросов текущих пользователей;
- Адаптивный интерфейс под различные разрешения экрана;
- Полностью переработанна архитектура приложения для оптимизации ресурсов и удобства пользователя.
[Доработки текущей функциональности]
- Автоматическая отмена сканирований при перезапуске сканирующего агента;
- Изменение логики работы удаления сущностей из системы;
- Возможность задавать имя пакета, к которому привязывается проект в виде wildcard;
- Добавлен источник обнаружения уязвимостей при сканировании с использованием интеграций с Appscreener и OverSecured;
- Добавление возможности аутентификации через LDAP сервер без указания домена;
- Удучшена работа с маппингом LDAP-групп;
- Добавление возможности исключений для модуля по перехвату трафика Networking;
- Доработка и корректировка ролевой модели пользователей;
- Доработка методов отключения SSLPinning.
[Bugfix]
- Исправление ошибок запуска сканирования на некоторых приложениях;
- Исправление ошибок в модулях сканирований;
- Синхронизация парольной политики на backend и frontend.
[Supporting Features]
- Добавленны новый интеграции в CLI для автоматической загрузки приложений из:
- Apple AppStore;
- Firebase;
- Google Play.
- Исключение и обновление уязвимых библиотек из образов;
- Новый процесс управления сканирующими агентами;
- Обновление рекомендаций по устранению выявленных уязвимостей;
- Добавление в состав продукта отдельной опции — «Интерактивные курсы по безопасности мобильных приложений».
Версия 2021.12
[Новая функциональность]
- Добавлена интеграция с Active Directory / LDAP;
- Возможность добавления нескольких серверов аутентификации;
- Возможность настройки маппинга групп из Active Directory на группы в Stingray для автоматического назначения прав пользователям;
- Добавлена привязка приложения к проекту и фильтрация связанных проектов при запуске сканирования.
[Доработки текущей функциональности]
- Доработка логики анализа plist-файлов;
- Реализован автоматическое вычисление максимальной роли пользователя на основе его участия в группах и персональных настроек;
- Исправлены сортировки по умолчанию для ряда API.
[Bugfix]
- Исправление ссылок на рекомендации;
- Исправлено добавление пользователя с неуникальным именем;
- Убрана кириллица из логов аудита.
[Supporting Features]
- Обновление уязвимых компонент до актуальных версий;
- Разработан автоматический скрипт по подготовке iOS-устройств для подключению к Stingray.
Версия 2.6
[Доработки текущей функциональности]
- Обновление иконки проекта при первом сканировании;
- Добавление описаний ко всем API в swagger;
- Добавление описаний в API каким ролям доступен вызов;
- Реализация «прозрачного» проксирования трафика Android-приложений;
- Доработки UI.
[Bugfix]
- Устранение выявленных ошибок в ролевой модели пользователей;
- Исправление периодического повторного запуска задач;
- Устранение ошибок обратки файлов iOS.
[Supporting Features]
- Разработан плагин для импорта HAR-файлов в Burp Suite для дальнейшего ручного или автоматизированного анализа API
https://github.com/Dynamic-Mobile-Security/burp-har-importer ; - Добавлено описание интеграции с Netsparker / Burp Suite / Acunetix;
- Удалены неиспользуемые API.
Версия 2.5
[Новая функциональность]
- Добавлена возможность отключения SSLPinning;
- Добавлена новая уязвимость «Отсутствует или некорректно реализован SSLPinning»;
- Полностью переработана ролевая модель пользователей;
- Добавлены административные права доступа для определения роли пользователя в системе;
- Добавлены проектные роли для определения роли пользователя в конкретном проекте;
- Добавлена возможность объединения пользователей в группы;
- Добавлена возможность назначения группам различных прав (административных и проектных);
- Новые уязвимости для Android;
- Небезопасные настройки в AndroidManifest.xml. Флаг android:hasFragileUserData;
- Небезопасные настройки в AndroidManifest.xml. Флаг android:requestLegacyExternalStorage;
- Возможность добавления исключений напрямую со страницы результатов сканирования;
- Возможность выгрузки сетевого трафика в формате HAR для дальнейшего импорта в инструменты анализа API.
[Доработки текущей функциональности]
- При ошибках, когда приложение не запускается, реализован «Снимок экрана» для упрощения понимания причин возникновения ошибки;
- При отсутствии необходимости в запуске приложения, оно не запускается, а сразу происходит этап анализа;
- Доработка правил анализа и исключений на основе данных о проведенных сканированиях;
- Увеличен выводимый контент файлов для просмотра до 5000 символов;
- Доработка получения информации о работе приложения по модулям с собранными данными;
- Доработки логов аудита системы, вывод в формате json;
- Интеграция с AppScreener расширена на iOS.
[Bugfix]
- Исправление недочетов/ошибок в UI;
- Исправление проверки корректного запуска приложения;
- Исправление данных в модуле «Отслеживание Broadcast Receiver».
[Supporting Features]
- Добавление и обновление рекомендаций по устранению уязвимостей.
Версия 2.4
[Новая функциональность]
- Интеграция с системой OverSecured для статического анализа;
- Интеграция с системой Appscreener для статического анализа;
- При загрузке приложения, которое уже было просканировано в системе оно не загружается еще раз, а используется загруженный ранее файл;
- Добавление исключений ко всем уязвимостям в сканировании, отмеченным как ложное срабатывание;
- Добавление исключения к конкретной уязвимости в сканировании;
- Получение содержимого файлов в результатах сканирования.
[Доработки текущей функциональности]
- В рамках проекта стало возможным сканирование только одного приложения;
- Фильтрация доступных для выбора архитектур по активным сканирующим агентам;
- Подсветка синтаксиса в результатах сканирования и собранных данных;
- Более информативное отображение ошибок;
- Возможность отменять запущенные тест-кейсы;
- Изменен порядок выбора полей при старте сканирования или записи тест-кейса;
- Добавлена возможность скачивания логов записи тест-кейса;
- При выгрузке отчета ограничивается выводимая информация;
- Доработка правил сканирования;
- В уязвимости «Поиск ранее обнаруженной информации» добавлен поиск по модифицированным данным (md5, sha1, sha256, sha512, base64).
[Bugfix]
- Исправлена ошибка отображения экрана устройства;
- Исправлена ошибка модуля при отсутствии интернета при проверке корректности ключей FCM/GCM;
- Исправление работы очереди сканирования;
- Исправлена работа с изменением hosts в системе;
- Обработка некорректных кодировок при сканировании;
- Исправление ошибок в UI.
[Supporting Features]
- Добавлена возможность запуска CLI при помощи готового docker-контейнера;
- Параметр архитектуры в CLI стал не обязательным;
- Добавлена возможность установки всех новых параметров при установке в значения по умолчанию;
- Исправление уязвимостей и обновление библиотек до неуязвимых версий.
Версия 2.3
[Новая функциональность]
- Добавление возможности изменения и управления парольной политикой.
- Реализация механизма Captcha и изменение логики работы аутентификации.
- Добавление возможности скачивания лога сканирования из интерфейса приложения.
- Добавлена возможность отмены сканирования в любой момент жизненного цикла сканирования.
- Реализовано автоматическое определение корректности запуска приложения перед сканированием или записью тестового сценария.
- Реализовано автоматическое закрытие всплывающих окон перед запуском процесса сканирования или записи тестовых сценариев.
- Фильтрация списка архитектур доступных для выбора при сканировании и записи тестовых сценариев по активным сканирующим агентам.
- При уходе со страницы сканирования реализован возврат к экрану сканирования или записи тесткейса.
- Выгрузка результатов модуля сетевой активности в формате HAR для возможности загрузки в инструменты динамического анализа.
[Новые уязвимости]
- [iOS] Наличие Podfile в собранном пакете приложения.
- [iOS] Наличие скриптов сборки в собранном пакете приложения.
[Доработки текущей функциональности]
- Улучшение валидации при воспроизведении тестовых сценариев во время автоматического сканирования.
- Добавлен читаемый формат сообщения об ошибках.
- Проведена работа над безопасностью системы.
- Улучшено логирования при запуске сканирования и записи тестовых сценариев.
- Реализован автоматический выбор архитектуры при автоматическом сканировании с тестовым сценарием.
- В CLI добавлена возможность сканирования без указания тестового сценария.
- Переработка UI для разделов «Запуск сканирования» и «Результаты сканирования».
[Bugfix]
- Исправление продолжающихся запросов на получение на статуса после ухода со страницы запуска сканирования.
- Улучшение стабильности работы сканирующих агентов, исправление ошибок, влияющих на процесс сканирования.
- Исправление ошибок в нескольких модулях.
- Исправление ошибки «белого экрана» при записи тестового сценария или запуска сканирования из очереди.
- Исправление некорректного обновления токенов доступа при перезагрузке страницы.