Mulvad VPN 是一种流行的注重隐私的 VPN 服务。该服务使用无磁盘基础设施,最近也开始在 RAM 中运行加密的 DNS 服务器。您还可以在亚马逊上或通过其他匿名方式购买 Mulvad 代码。
2024年底之后,Mullvad 要求德国 X41 D-Sec 对该服务进行审计,这是自 2018 年以来的第四次外部安全审计。
公司工程师的任务是审核所有平台上 Mulvad VPN 应用程序的源代码并执行渗透测试。这发生在 2024 年 10 月至 11 月期间。
发现漏洞
X41 D-Sec共发现6个漏洞。
- 三个高安全漏洞。
- 两个中等级别的漏洞。
- 一是低脆弱性。
此外,研究还发现了三个影响安全的问题。
Mulvad 解决了范围内的问题。 Mulvad 无法修复某些已发现的问题,因为这些问题是在操作系统或协议的某些行为中发现的。
三个评级较高的安全问题均已修复。他们是:
- Android、Linux 和 macOS 上潜在的堆损坏问题。
- Mulllvad-daemon 中的故障信号处理程序存在影响 Android、Linux 和 macOS 的问题。
- 在 Windows 上的安装程序中使用 taskkill.exe,而不使用绝对路径。
Mulvad 无法解决所有问题
例如,评级为中等的一个问题可能会将隧道设备的虚拟 IP 地址泄露给网络相邻参与者,该问题仅影响 Linux 和 Android。在 Linux 上,Mullvad 通过更改内核参数解决了该问题。
在 Android 上,Mullvad 的应用程序无法控制该参数。该公司确实向谷歌报告了这个问题,希望谷歌改变Android上的默认行为来解决这个问题。
值得注意的是,该问题也会影响 Android 上的其他应用程序。 Mulvad 表示,该公司并不认为此次泄漏的严重性很高。然而,它可能会将隧道 IP 泄露给观察者。 IP 每月都会更改,但退出应用程序并再次登录也会为客户端提供新的隧道 IP 地址。
结束语
安全审核发现潜在的漏洞,然后公司可以主动修复这些漏洞。它们还可能有助于向现有或未来的服务用户灌输信心,特别是如果定期进行的话。
现在轮到你了。你们提供 VPN 解决方案吗?如果是的话,是哪个以及为什么?请随时在下面发表评论。