Mullvad VPN レビュー

 (x41-dsec.de)
2 ポイント 投稿者 GN⁺ 2024-12-12 | 1件のコメント | WhatsAppで共有

  • Mullvad VPN セキュリティ監査

  • X41 は、Mullvad VPN アプリケーションに対して、ソースコードへのアクセスを含むホワイトボックス侵入テストを実施した。

  • このテストは、Linux、Windows、macOS、Android、iOS の5つのプラットフォームで動作するアプリケーションの複雑さのため、挑戦的なものだった。

  • 定期的な監査と侵入テストを通じて、Mullvad VPN アプリケーションは高いセキュリティ水準を維持している。

  • テスト結果

  • 合計6件の脆弱性が発見された。

  • 最も深刻な脆弱性は、シグナルハンドラのコードにおける競合状態と時間安全性違反によるメモリ破損の問題だった。

  • ネットワーク隣接の攻撃者がユーザーの身元を漏えいさせる可能性のある脆弱性と、特定の状況でクライアントが現在接続中のサイトを明らかにしてしまうサイドチャネル攻撃がある。

  • Mullvad VPN AB はこれらの脆弱性を迅速に修正し、修正が正しく機能することについて監査を受けた。

  • 結論

  • クライアントアプリケーションでは、関連する脆弱性が限られた数だけ明らかになり、Mullvad VPN AB はそれらを迅速に解決した。

  • X41 は、Mullvad VPN AB との円滑な協力とコミュニケーションに感謝の意を表した。

  • リンク

  • 完全なレポート

  • Mullvad の発表

  • Mullvad の過去の監査

関連記事

1件のコメント

 
GN⁺ 2024-12-12
Hacker Newsのコメント

  • X41のMullvad監査報告書で見つかった問題は比較的単純。DAITA(Defence against AI Traffic Analysis)にかなり依存している。

    • DAITAはAIトラフィック分析に対する防御であり、追加の学習が必要になる可能性がある

  • VPN業界は最近とても活発だが、顧客をきちんと扱っていなかったり、提供しているサービスについて透明性がないと感じる

    • 特にスカンジナビア諸国発の「クールな」VPNが多いと言われるが、実際にはそうではない

  • 監査報告書の脅威モデルのセクションはよく書かれている。多くの監査機関はこの部分を省略しがちだ

    • Cure53、Assured、Atredisのような過去の監査機関は、Mullvadと適切な脅威モデルを設定していたようだ

  • 公開監査報告書は「この会社はとても安全で、うまくやっている」という調子で書かれることが多い

    • X41が特にそうだという不満ではないが、多くの評価機関にこうした傾向がある
    • ただし、Rustプログラムでヒープ破損の脆弱性を発見したのは良い成果だ

  • Mullvad VPNアプリに関する監査報告書が公開された

    • Mullvadサービスそのものではなく、アプリに対する監査である

  • Mullvadは以前は素晴らしかったが、ポートフォワーディングをやめたことでトレントの利用が難しくなった

    • OpenVPNのサポート終了も不便をもたらしている
    • 別のVPNへ移る予定だ

  • OpenBSDでWireGuardと一緒にMullvad VPNを使っているが、うまく動いている

    • 匿名性のためにビットコインで月単位の購入が可能だ

  • 「X41がMullvad VPNアプリを監査した」というタイトルのほうが、より明確かもしれない

  • VPNをレビューしている真面目なWebサイトがあるのか気になる

    • インターネットでスポンサーの付いていない情報を見つけるのは、いつも難しい
    • MullvadはP2Pをサポートする最高のVPNの1つという評判がある