Mulvad VPN 是一種流行的注重隱私的 VPN 服務。該服務使用無磁盤基礎設施,最近也開始在 RAM 中運行加密的 DNS 服務器。您還可以在亞馬遜上或通過其他匿名方式購買 Mulvad 代碼。
2024年底之後,Mullvad 要求德國 X41 D-Sec 對該服務進行審計,這是自 2018 年以來的第四次外部安全審計。
公司工程師的任務是審核所有平台上 Mulvad VPN 應用程序的源代碼並執行滲透測試。這發生在 2024 年 10 月至 11 月期間。
發現漏洞
X41 D-Sec共發現6個漏洞。
- 三個高安全漏洞。
- 兩個中等級別的漏洞。
- 一是低脆弱性。
此外,研究還發現了三個影響安全的問題。
Mulvad 解決了範圍內的問題。 Mulvad 無法修復某些已發現的問題,因為它們是在操作系統或協議的某些行為中發現的。
三個評級較高的安全問題均已修復。他們是:
- Android、Linux 和 macOS 上潛在的堆損壞問題。
- Mulllvad-daemon 中的故障信號處理程序存在影響 Android、Linux 和 macOS 的問題。
- 在 Windows 上的安裝程序中使用 taskkill.exe,而不使用絕對路徑。
Mulvad 無法解決所有問題
例如,評級為中等的一個問題可能會將隧道設備的虛擬 IP 地址洩露給網絡相鄰參與者,該問題僅影響 Linux 和 Android。在 Linux 上,Mullvad 通過更改內核參數解決了該問題。
在 Android 上,Mullvad 的應用程序無法控制該參數。該公司確實向谷歌報告了這個問題,希望谷歌能夠改變Android上的默認行為來解決這個問題。
值得注意的是,該問題也會影響 Android 上的其他應用程序。 Mulvad 表示,該公司並不認為此次洩漏的嚴重性很高。然而,它可能會將隧道 IP 洩露給觀察者。 IP 每月都會更改,但退出應用程序並再次登錄也會為客戶端提供新的隧道 IP 地址。
結束語
安全審核發現潛在的漏洞,然後公司可以主動修復這些漏洞。它們還可能有助於向現有或未來的服務用戶灌輸信心,特別是如果定期進行的話。
現在輪到你了。你們提供 VPN 解決方案嗎?如果是的話,是哪個以及為什麼?請隨時在下面發表評論。