Mullvad 应用程序的审计结果现已公开

• 2024-11-29 15:44:42

这篇博客文章已经有4年历史，可能不够最新。

Mullvad应用程式的审核结果

2020年6月25日 外部审核

我们邀请您阅读针对Mullvad VPN应用程式进行的独立安全审核最终报告。

报告指出：“针对Mullvad [应用程式]的2020年5月至6月的专案结果相当正面。” 此次审核涵盖了五个支援平台版本的应用程式：桌面版本20204、Android版本20205beta1和iOS测试版20203。

审核人员表示：“仅发现了七个与安全相关的项目。此外，对Mullvad应用程式分支进行的渗透测试和审核也仅指出了有限的问题，最严重的漏洞分类为中等。”

来自Cure53的六位测试人员在20天内完成了这次审核。

阅读报告

最终审核报告已在Cure53的网站上发布。

为了保持透明度，初步报告也公开提供。这是最初提交给我们的版本。在与审核人员讨论某些术语的使用并要求他们明确哪些应用版本已被审核后，他们调整了报告并生成了最终版本。

独立审核帮助我们发现潜在的安全漏洞并进行修复，最终为我们的用户提供更好的服务。它也让您有机会评估我们是否具备提供安全性至上的服务的技术能力。

升级您的应用程式

根据审核人员的发现，我们已相应优先改进并为所有平台发布了新版本：

下载Mullvad VPN以获取最新版本。

发现概述

在七个问题中，两个被审核人员归类为“中等”，两个为“低”，剩下三个为“信息”。审核人员没有发现任何被归类为危险或关键的情况，根据报告，“Mullvad在防止常见的个人可识别信息PII泄露和隐私风险方面做得非常出色。”

我们已在最终报告完成并发送给我们之前，修复了五个问题。剩下的两个我们不认为是严重问题，也不会对我们或用户构成威胁。此外，这两个问题超出我们的控制范围，因此我们无法修复。

识别到的漏洞

我们的回应：已在桌面版本20205中修复。这是一个合法且完全可行的去匿名化攻击。然而，由于执行难度不低，Cure53仅将其归类为中等。这个漏洞对一般用户来说并不构成问题，但正如报告结论所述，“一个由国家资助且持续存在的威胁”可能会利用这个漏洞来识别用户。

由于对我们及高风险模型用户的匿名性至关重要，我们认为这个发现相当严重，但不足以急于推出稳定版本。

我们的回应：这一发现并不会对任何用户或服务本身造成危险。问题报告作为纯文本而非HTML处理，从应用程式到支援团队都如此。报告中观察到的回馈来自Google的Gmail伺服器，它们似乎只是查询它们能在邮件主体中解析的任何URL。

因此，我们不同意将其归类为HTML注入问题。我们可能无法禁用这一点，即使它可被利用，受到损害的也将是Google而非Mullvad。

我们的回应：已在桌面版本20205中修复。这个漏洞允许从网路控制Windows上的Mullvad VPN。然而，这需要用户在应用中启用“本地网路共享”并禁用Windows的“受密码保护的共享”，这两者在默认情况下都不会被启用。

我们不认为这是重大安全缺陷，因为用户必须明确关闭重要安全设置才能使其可被利用。然而，由于VPN只能从本地计算机控制，且报告提供了一个简单的修复方案，因此我们已针对该问题进行了修正。

其他问题

我们的回应：已在iOS版本20203中修复。该应用不需要找到的快取文件。由于暴露数据并不非常敏感，且将数据从设备提取出来并不容易，我们同意审核人员的看法，认为这不是一个严重的泄漏。

我们的回应：已在Android版本20205beta2中修复。这些是Cure53给出的良好建议，我们已实施以更好地进行深度防御。

我们的回应：已在桌面版本20205中修复。这个漏洞与MUL02002非常相似，但因为无法发送自定义令牌，因此不那么危险，这使得识别特定用户的难度增加。

我们的回应：泄漏正在使用的私有隧道IP被认为是不好的，但并不关键。我们同意将这一安全发现归类为“信息”级别，因为攻击者需要ADB访问或手机被root。IP的日志记录由Android操作系统在任何VPN应用使用系统的VPN API时执行，据我们所知，没有办法禁用这一点，也无法解决这一潜在的资讯泄漏。所有Android VPN应用都面临著同样类型的泄漏。

最后的话

这次审核概述也可在我们的开源库GitHub上获得。在该版本中，我们附上了审核结果与其各自的源代码实现。

最后，我们想感谢Cure53，不仅感谢他们的工作，还感谢在整个过程中的顺利合作！

WireGuard 是Jason A Donenfeld的注册商标。