Đánh giá Mullvad VPN

 (x41-dsec.de)
2 điểm bởi GN⁺ 2024-12-12 | 1 bình luận | Chia sẻ qua WhatsApp

  • Kiểm toán bảo mật Mullvad VPN

  • X41 đã thực hiện kiểm thử xâm nhập dạng hộp trắng đối với ứng dụng Mullvad VPN, bao gồm cả quyền truy cập vào mã nguồn.

  • Bài kiểm thử này mang tính thách thức do độ phức tạp của ứng dụng chạy trên 5 nền tảng: Linux, Windows, macOS, Android và iOS.

  • Thông qua các đợt kiểm toán và kiểm thử xâm nhập định kỳ, ứng dụng Mullvad VPN đang duy trì mức độ bảo mật cao.

  • Kết quả kiểm thử

  • Tổng cộng phát hiện 6 lỗ hổng.

  • Lỗ hổng nghiêm trọng nhất là vấn đề hỏng bộ nhớ do điều kiện tranh chấp trong mã signal handler và vi phạm tính an toàn theo thời gian.

  • Có một lỗ hổng cho phép kẻ tấn công cận kề mạng làm lộ danh tính người dùng, cùng với một cuộc tấn công kênh kề có thể khiến máy khách tiết lộ trang web mà người dùng đang truy cập trong một số tình huống nhất định.

  • Mullvad VPN AB đã nhanh chóng khắc phục các lỗ hổng này, và các bản sửa đã được kiểm toán để xác nhận hoạt động đúng cách.

  • Kết luận

  • Ứng dụng khách chỉ bộc lộ một số lượng hạn chế các lỗ hổng liên quan, và Mullvad VPN AB đã nhanh chóng khắc phục chúng.

  • X41 gửi lời cảm ơn tới Mullvad VPN AB vì sự hợp tác và trao đổi suôn sẻ.

  • Liên kết

  • Báo cáo đầy đủ

  • Thông báo của Mullvad

  • Các đợt kiểm toán trước đây của Mullvad

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-12-12
Ý kiến Hacker News

  • Các vấn đề được phát hiện trong báo cáo kiểm toán Mullvad của X41 tương đối đơn giản. Có sự phụ thuộc khá nhiều vào DAITA (Defence against AI Traffic Analysis).

    • DAITA là cơ chế phòng vệ trước phân tích lưu lượng bằng AI và có thể cần được huấn luyện thêm.

  • Ngành kinh doanh VPN hiện nay rất sôi động, nhưng có cảm giác nhiều nơi không đối xử tử tế với khách hàng hoặc không minh bạch về dịch vụ họ cung cấp.

    • Đặc biệt có nhiều VPN “ngầu” đến từ các nước Scandinavia, nhưng thực tế lại không hẳn như vậy.

  • Phần mô hình đe dọa trong báo cáo kiểm toán được viết rất tốt. Nhiều đơn vị kiểm toán thường bỏ qua phần này.

    • Có vẻ các đơn vị kiểm toán trước đây như Cure53, Assured và Atredis đã cùng Mullvad thiết lập một mô hình đe dọa phù hợp.

  • Nhiều báo cáo kiểm toán công khai thường được viết theo kiểu “công ty này rất an toàn và đang làm rất tốt”.

    • Đây không hẳn là phàn nàn nhắm riêng vào X41, mà là xu hướng của nhiều đơn vị đánh giá.
    • Tuy vậy, việc phát hiện lỗ hổng hỏng heap trong một chương trình Rust là một kết quả đáng ghi nhận.

  • Báo cáo kiểm toán ứng dụng Mullvad VPN đã được công bố.

    • Đây là kiểm toán cho ứng dụng, không phải cho dịch vụ Mullvad.

  • Mullvad trước đây từng rất tuyệt, nhưng việc ngừng port forwarding khiến việc dùng torrent trở nên khó khăn.

    • Việc ngừng hỗ trợ OpenVPN cũng gây ra nhiều bất tiện.
    • Tôi dự định sẽ chuyển sang một VPN khác.

  • Tôi đang dùng Mullvad VPN với WireGuard trên OpenBSD và nó hoạt động tốt.

    • Có thể mua theo tháng bằng Bitcoin để tăng tính ẩn danh.

  • Tiêu đề “X41 đã kiểm toán ứng dụng Mullvad VPN” có lẽ sẽ rõ ràng hơn.

  • Tôi tự hỏi có trang web nào đánh giá VPN một cách nghiêm túc hay không.

    • Trên internet lúc nào cũng khó tìm được thông tin không có tài trợ.
    • Mullvad có tiếng là một trong những VPN tốt nhất hỗ trợ P2P.