Mullvad-VPN im Review

 (x41-dsec.de)
2 Punkte von GN⁺ 2024-12-12 | 1 Kommentare | Auf WhatsApp teilen

  • Sicherheits-Audit von Mullvad VPN

  • X41 führte einen White-Box-Penetrationstest der Mullvad-VPN-Anwendung durch, einschließlich Zugriff auf den Quellcode.

  • Dieser Test war aufgrund der Komplexität der Anwendung, die auf fünf Plattformen läuft – Linux, Windows, macOS, Android und iOS –, besonders anspruchsvoll.

  • Durch regelmäßige Audits und Penetrationstests hält die Mullvad-VPN-Anwendung ein hohes Sicherheitsniveau aufrecht.

  • Testergebnisse

  • Insgesamt wurden 6 Schwachstellen gefunden.

  • Die schwerwiegendste Schwachstelle war ein Problem mit Speicherbeschädigung, verursacht durch eine Race Condition im Signal-Handler-Code und Verstöße gegen die Zeitsicherheit.

  • Es gibt eine Schwachstelle, durch die ein netzwerknaher Angreifer die Identität des Nutzers offenlegen kann, sowie einen Side-Channel-Angriff, durch den der Client unter bestimmten Umständen die aktuell besuchte Website preisgeben kann.

  • Mullvad VPN AB hat diese Schwachstellen schnell behoben und die Korrekturen auditieren lassen, um ihre ordnungsgemäße Funktion zu bestätigen.

  • Fazit

  • Die Client-Anwendung offenbarte eine begrenzte Anzahl relevanter Schwachstellen, und Mullvad VPN AB behob diese zügig.

  • X41 sprach Mullvad VPN AB seinen Dank für die reibungslose Zusammenarbeit und Kommunikation aus.

  • Links

  • Vollständiger Bericht

  • Mullvad-Ankündigung

  • Frühere Audits von Mullvad

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-12-12
Hacker-News-Kommentare

  • Die im Mullvad-Auditbericht von X41 gefundenen Probleme sind vergleichsweise einfach. Es wird stark auf DAITA (Defence against AI Traffic Analysis) vertraut.

    • DAITA ist eine Abwehr gegen KI-gestützte Traffic-Analyse und könnte zusätzliches Training erfordern

  • Das VPN-Geschäft ist derzeit sehr lebhaft, aber es wirkt so, als würden Kunden nicht richtig behandelt und als gäbe es wenig Transparenz über die angebotenen Dienste

    • Besonders viele „coole“ VPNs sollen aus skandinavischen Ländern kommen, aber in Wirklichkeit ist das nicht so

  • Der Abschnitt zum Threat Model im Auditbericht ist gut geschrieben. Viele Auditfirmen lassen diesen Teil oft weg

    • Frühere Auditoren wie Cure53, Assured und Atredis scheinen mit Mullvad ein angemessenes Threat Model festgelegt zu haben

  • Öffentliche Auditberichte werden oft so geschrieben, als wollten sie sagen: „Dieses Unternehmen ist sehr sicher und macht alles richtig“

    • Das ist keine spezielle Beschwerde über X41, aber viele Bewertungsfirmen haben diese Tendenz
    • Dass dabei jedoch eine Heap-Corruption-Schwachstelle in einem Rust-Programm gefunden wurde, ist ein gutes Ergebnis

  • Der Auditbericht zur Mullvad-VPN-App wurde veröffentlicht

    • Es ist ein Audit der App, nicht des Mullvad-Dienstes

  • Mullvad war früher großartig, aber seit der Einstellung von Port Forwarding ist die Nutzung für Torrents schwierig geworden

    • Auch das Auslaufen der OpenVPN-Unterstützung verursacht Unannehmlichkeiten
    • Ich plane, zu einem anderen VPN zu wechseln

  • Ich nutze Mullvad VPN unter OpenBSD mit WireGuard, und es funktioniert gut

    • Zur Wahrung der Anonymität kann man es monatlich mit Bitcoin bezahlen

  • Der Titel „X41 hat die Mullvad-VPN-App auditiert“ wäre klarer

  • Ich frage mich, ob es eine seriöse Website gibt, die VPNs bewertet

    • Im Internet ist es immer schwer, nicht gesponserte Informationen zu finden
    • Mullvad hat den Ruf, eines der besten VPNs mit P2P-Unterstützung zu sein