รีวิว Mullvad VPN

 (x41-dsec.de)
2 คะแนน โดย GN⁺ 2024-12-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • การตรวจสอบความปลอดภัยของ Mullvad VPN

  • X41 ได้ทำการทดสอบเจาะระบบแบบ white-box กับแอปพลิเคชัน Mullvad VPN ซึ่งรวมถึงการเข้าถึงซอร์สโค้ด

  • การทดสอบนี้มีความท้าทายเนื่องจากความซับซ้อนของแอปพลิเคชันที่ทำงานบน 5 แพลตฟอร์ม ได้แก่ Linux, Windows, macOS, Android และ iOS

  • ด้วยการตรวจสอบและการทดสอบเจาะระบบอย่างสม่ำเสมอ แอปพลิเคชัน Mullvad VPN จึงยังคงรักษาระดับความปลอดภัยที่สูงไว้ได้

  • ผลการทดสอบ

  • พบช่องโหว่ทั้งหมด 6 รายการ

  • ช่องโหว่ที่ร้ายแรงที่สุดคือปัญหาหน่วยความจำเสียหายที่เกิดจาก race condition ในโค้ด signal handler และการละเมิดความปลอดภัยด้านเวลา

  • มีช่องโหว่ที่ผู้โจมตีซึ่งอยู่ใกล้เคียงบนเครือข่ายอาจใช้เพื่อเปิดเผยตัวตนของผู้ใช้ และมีการโจมตีแบบ side-channel ที่อาจทำให้ไคลเอนต์เปิดเผยเว็บไซต์ที่กำลังเชื่อมต่ออยู่ในบางสถานการณ์

  • Mullvad VPN AB ได้แก้ไขช่องโหว่เหล่านี้อย่างรวดเร็ว และได้รับการตรวจสอบยืนยันว่าส่วนแก้ไขทำงานได้อย่างถูกต้อง

  • บทสรุป

  • แอปพลิเคชันไคลเอนต์เผยให้เห็นช่องโหว่ที่เกี่ยวข้องจำนวนจำกัด และ Mullvad VPN AB ก็ได้แก้ไขอย่างรวดเร็ว

  • X41 แสดงความขอบคุณต่อความร่วมมือและการสื่อสารที่ราบรื่นกับ Mullvad VPN AB

  • ลิงก์

  • รายงานฉบับเต็ม

  • ประกาศของ Mullvad

  • การตรวจสอบก่อนหน้านี้ของ Mullvad

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-12-12
ความคิดเห็นบน Hacker News

  • ปัญหาที่พบในรายงานตรวจสอบ Mullvad ของ X41 ค่อนข้างตรงไปตรงมา ดูเหมือนว่าจะพึ่งพา DAITA (Defence against AI Traffic Analysis) อย่างมาก

    • DAITA เป็นการป้องกันการวิเคราะห์ทราฟฟิกด้วย AI ซึ่งอาจต้องมีการฝึกเพิ่มเติม

  • ธุรกิจ VPN ช่วงนี้คึกคักมาก แต่รู้สึกว่าหลายเจ้าปฏิบัติต่อลูกค้าไม่ดีนักหรือไม่โปร่งใสเกี่ยวกับบริการที่ให้

    • โดยเฉพาะ VPN "เท่ ๆ" จากประเทศแถบสแกนดิเนเวียที่มีเยอะมาก แต่ในความเป็นจริงไม่ได้เป็นอย่างนั้น

  • ส่วน threat model ในรายงานตรวจสอบเขียนไว้ดีมาก หน่วยงานตรวจสอบหลายแห่งมักละส่วนนี้ไป

    • ดูเหมือนว่าหน่วยงานที่เคยตรวจสอบก่อนหน้านี้อย่าง Cure53, Assured และ Atredis จะได้วาง threat model ที่เหมาะสมกับ Mullvad ไว้แล้ว

  • รายงานตรวจสอบที่เผยแพร่สู่สาธารณะมักเขียนในแนวว่า "บริษัทนี้ปลอดภัยมากและทำได้ดีมาก"

    • ไม่ใช่ว่า X41 มีปัญหาเฉพาะเจาะจงอะไร แต่หน่วยงานประเมินหลายแห่งมีแนวโน้มแบบนี้
    • อย่างไรก็ตาม การค้นพบช่องโหว่ heap corruption ในโปรแกรม Rust ถือเป็นผลงานที่ดี

  • มีการเผยแพร่รายงานตรวจสอบสำหรับแอป Mullvad VPN

    • เป็นการตรวจสอบตัวแอป ไม่ใช่บริการ Mullvad

  • Mullvad เคยยอดเยี่ยมมากในอดีต แต่หลังจากยกเลิก port forwarding ก็ทำให้ใช้งานทอร์เรนต์ได้ยาก

    • การเลิกซัพพอร์ต OpenVPN ก็สร้างความไม่สะดวกเช่นกัน
    • มีแผนจะย้ายไปใช้ VPN อื่น

  • กำลังใช้ Mullvad VPN บน OpenBSD ร่วมกับ WireGuard และมันทำงานได้ดี

    • สามารถซื้อแบบรายเดือนได้ด้วยบิตคอยน์เพื่อความไม่ระบุตัวตน

  • หัวข้ออย่าง "X41 ตรวจสอบแอป Mullvad VPN" น่าจะชัดเจนกว่า

  • สงสัยว่ามีเว็บไซต์ที่รีวิว VPN อย่างจริงจังหรือไม่

    • การหาข้อมูลบนอินเทอร์เน็ตที่ไม่มีสปอนเซอร์แฝงมักเป็นเรื่องยากเสมอ
    • Mullvad มีชื่อเสียงว่าเป็นหนึ่งใน VPN ที่ดีที่สุดที่รองรับ P2P