Mullvad VPN er en populær privatlivsfokuseret VPN-tjeneste. Tjenesten bruger en diskløs infrastruktur og er for nylig begyndt at køre krypterede DNS-servere i RAM også. Du kan også købe Mullvad-koder på Amazon eller på andre måder, der holder dig anonym.
I slutningen af 2024, bad Mullvad den tyske X41 D-Sec om at udføre en revision af tjenesten, hvilket gør den til den fjerde eksterne sikkerhedsrevision siden 2018.
Virksomhedens ingeniører fik til opgave at revidere kildekoden til Mullvads VPN-apps på alle platforme og udføre penetrationstest. Dette skete mellem oktober og november 2024.
Der blev fundet sårbarheder
X41 D-Sec opdagede i alt seks sårbarheder.
- Tre højsikkerhedssårbarheder.
- To mellemvurderede sårbarheder.
- En lav sårbarhed.
Derudover fandt undersøgelserne tre problemer med sikkerhedspåvirkning.
Mullvad behandlede de problemer, der var inden for rækkevidde. Nogle af de opdagede problemer kan ikke løses af Mullvad, da de findes i visse opførsel af operativsystemer eller protokoller.
Foreslået læsning:Dagen før lav FPS: Sådan fiksede jeg det nemt
De tre sikkerhedsproblemer, der er vurderet højt, er alle løst. De var:
- Et potentielt problem med heap-korruption på Android, Linux og macOS.
- Et problem med fejlsignalhåndteringen i mullvad-daemon, der påvirker Android, Linux og macOS.
- Brug af taskkill.exe på Windows i installationsprogrammet uden brug af absolutte stier.
Ikke alle problemer kan løses af Mullvad
Et problem, f.eks. vurderet medium, som kan lække den virtuelle IP-adresse på tunnelenheder til netværkstilstødende deltagere, påvirker kun Linux og Android. På Linux løste Mullvad problemet ved at ændre en kerneparameter.
På Android har Mullvads app ingen kontrol over denne parameter. Virksomheden rapporterede problemet til Google i håb om, at Google vil ændre standardadfærden på Android for at løse dette.
Det skal bemærkes, at problemet også påvirker andre apps på Android. Mullvad siger, at den ikke anser lækagen for høj alvorlighed. Det kan dog lække tunnelens IP til observatører. IP'er ændres månedligt, men ved at logge ud af appen og ind igen får klienten også en ny tunnel-IP-adresse.
Afsluttende ord
Sikkerhedsrevisioner finder potentielle sårbarheder, som virksomheder derefter kan rette proaktivt. De kan også være med til at skabe tillid til eksisterende eller fremtidige brugere af tjenesten, især hvis de udføres regelmæssigt.
Nu er det din tur. Har du en VPN-løsning? Hvis ja, hvilken og hvorfor? Du er velkommen til at efterlade en kommentar nedenfor.