Ulasan Mullvad VPN

 (x41-dsec.de)
2 poin oleh GN⁺ 2024-12-12 | 1 komentar | Bagikan ke WhatsApp

  • Audit keamanan Mullvad VPN

  • X41 melakukan uji penetrasi white-box terhadap aplikasi Mullvad VPN, termasuk akses ke kode sumber.

  • Pengujian ini menantang karena kompleksitas aplikasi yang berjalan di lima platform: Linux, Windows, macOS, Android, dan iOS.

  • Melalui audit dan uji penetrasi berkala, aplikasi Mullvad VPN mempertahankan tingkat keamanan yang tinggi.

  • Hasil pengujian

  • Total ditemukan 6 kerentanan.

  • Kerentanan yang paling serius adalah masalah korupsi memori akibat race condition dalam kode signal handler dan pelanggaran time safety.

  • Ada kerentanan yang memungkinkan penyerang di jaringan terdekat membocorkan identitas pengguna, serta serangan side-channel yang dalam situasi tertentu dapat mengungkap situs yang sedang diakses klien.

  • Mullvad VPN AB segera memperbaiki kerentanan-kerentanan ini, dan perbaikannya diaudit untuk memastikan berfungsi dengan benar.

  • Kesimpulan

  • Aplikasi klien mengungkap sejumlah terbatas kerentanan yang relevan, dan Mullvad VPN AB menanganinya dengan cepat.

  • X41 menyampaikan apresiasi atas kerja sama dan komunikasi yang lancar dengan Mullvad VPN AB.

  • Tautan

  • Laporan lengkap

  • Pengumuman Mullvad

  • Audit Mullvad sebelumnya

Bacaan terkait

1 komentar

 
GN⁺ 2024-12-12
Komentar Hacker News

  • Masalah yang ditemukan dalam laporan audit Mullvad oleh X41 relatif sederhana. Ada ketergantungan besar pada DAITA (Defence against AI Traffic Analysis).

    • DAITA adalah pertahanan terhadap analisis lalu lintas oleh AI, yang mungkin memerlukan pelatihan tambahan

  • Bisnis VPN saat ini sangat ramai, tetapi terasa banyak yang tidak memperlakukan pelanggan dengan baik atau tidak transparan tentang layanan yang mereka berikan

    • Terutama banyak VPN "keren" yang katanya berasal dari negara-negara Skandinavia, tetapi kenyataannya tidak begitu

  • Bagian model ancaman dalam laporan audit ditulis dengan baik. Banyak lembaga audit sering melewatkan bagian ini

    • Tampaknya lembaga audit sebelumnya seperti Cure53, Assured, dan Atredis telah menetapkan model ancaman yang tepat bersama Mullvad

  • Laporan audit publik sering ditulis dengan nada seperti "perusahaan ini sangat aman dan melakukan segalanya dengan baik"

    • Ini bukan keluhan khusus terhadap X41, tetapi banyak lembaga penilai memang memiliki kecenderungan seperti ini
    • Namun, menemukan kerentanan kerusakan heap dalam program Rust adalah hasil yang baik

  • Laporan audit untuk aplikasi Mullvad VPN telah dipublikasikan

    • Ini adalah audit untuk aplikasinya, bukan untuk layanan Mullvad

  • Mullvad dulu sangat bagus, tetapi setelah menghentikan port forwarding, penggunaan torrent menjadi sulit

    • Penghentian dukungan OpenVPN juga menimbulkan ketidaknyamanan
    • Berencana pindah ke VPN lain

  • Menggunakan Mullvad VPN dengan WireGuard di OpenBSD, dan berfungsi dengan baik

    • Bisa membeli per bulan dengan Bitcoin demi anonimitas

  • Judul "X41 mengaudit aplikasi Mullvad VPN" mungkin bisa lebih jelas

  • Bertanya-tanya apakah ada situs web serius yang mengulas VPN

    • Selalu sulit menemukan informasi di internet yang tidak disponsori
    • Mullvad memiliki reputasi sebagai salah satu VPN terbaik yang mendukung P2P