Review da Mullvad VPN

 (x41-dsec.de)
2 pontos por GN⁺ 2024-12-12 | 1 comentários | Compartilhar no WhatsApp

  • Auditoria de segurança da Mullvad VPN

  • A X41 realizou um teste de invasão white-box no aplicativo da Mullvad VPN, incluindo acesso ao código-fonte.

  • O teste foi desafiador devido à complexidade do aplicativo, que roda em cinco plataformas: Linux, Windows, macOS, Android e iOS.

  • Por meio de auditorias regulares e testes de invasão, o aplicativo da Mullvad VPN mantém um alto nível de segurança.

  • Resultados do teste

  • Foram encontradas 6 vulnerabilidades no total.

  • A vulnerabilidade mais grave era um problema de corrupção de memória causado por uma condição de corrida no código do manipulador de sinais e por uma violação de segurança temporal.

  • Há uma vulnerabilidade pela qual um invasor adjacente à rede pode expor a identidade do usuário, além de um ataque de canal lateral que, em determinadas situações, pode revelar o site ao qual o cliente está conectado no momento.

  • A Mullvad VPN AB corrigiu rapidamente essas vulnerabilidades, e as correções foram auditadas para verificar se funcionavam corretamente.

  • Conclusão

  • O aplicativo cliente revelou um número limitado de vulnerabilidades relevantes, e a Mullvad VPN AB as corrigiu rapidamente.

  • A X41 expressou agradecimento pela colaboração e comunicação fluida com a Mullvad VPN AB.

  • Links

  • Relatório completo

  • Anúncio da Mullvad

  • Auditorias anteriores da Mullvad

Leituras relacionadas

1 comentários

 
GN⁺ 2024-12-12
Comentários do Hacker News

  • Os problemas encontrados no relatório de auditoria da X41 sobre o Mullvad são relativamente simples. Há muita dependência do DAITA (Defence against AI Traffic Analysis).

    • O DAITA é uma defesa contra análise de tráfego por IA, e pode exigir treinamento adicional

  • O mercado de VPN está muito aquecido hoje em dia, mas parece que muitas empresas não tratam bem os clientes nem são transparentes sobre o serviço que oferecem

    • Dizem que há muitas VPNs "legais" vindas especialmente de países escandinavos, mas na prática não é bem assim

  • A seção de modelo de ameaças no relatório de auditoria está bem escrita. Muitas empresas de auditoria costumam omitir essa parte

    • Parece que auditorias anteriores, como as da Cure53, Assured e Atredis, definiram um modelo de ameaças adequado com a Mullvad

  • Muitos relatórios públicos de auditoria são escritos num tom de "esta empresa é muito segura e está fazendo tudo certo"

    • Não é uma reclamação específica sobre a X41, mas muitas empresas de avaliação têm essa tendência
    • Ainda assim, encontrar uma vulnerabilidade de corrupção de heap em um programa Rust foi um bom resultado

  • Foi publicado um relatório de auditoria do app da Mullvad VPN

    • A auditoria é do app, não do serviço Mullvad

  • A Mullvad já foi excelente no passado, mas ficou difícil usar torrent depois que ela encerrou o port forwarding

    • O fim do suporte ao OpenVPN também trouxe inconvenientes
    • Há planos de migrar para outra VPN

  • Estou usando Mullvad VPN com WireGuard no OpenBSD, e funciona bem

    • Dá para comprar por mês usando bitcoin para manter o anonimato

  • Um título como "A X41 auditou o app da Mullvad VPN" talvez fosse mais claro

  • Fico curioso se existe algum site realmente sério para analisar VPNs

    • Sempre é difícil encontrar informações não patrocinadas na internet
    • A Mullvad tem reputação de ser uma das melhores VPNs com suporte a P2P