领先的网络安全公司 X41 D-Sec GmbH 完成了对 Mullvad VPN 应用程序的白盒渗透测试,发现了多个漏洞,其中一个被评为 “严重”,两个被评为 “高度”。
审计发现了三个高严重性漏洞,包括信号处理器问题和安装过程中的侧载风险。其中一个值得注意的漏洞是 MLLVD-CR-24-01 (CVE-2024-55884, CVSS 9.0),涉及信号处理器的备用堆栈大小不足,可能导致内存损坏。正如报告所解释的那样:“虽然利用漏洞执行代码预计并非难事,但由于备用堆栈会与并发运行进程的堆发生碰撞,因此如果攻击者能够在正确的上下文中触发信号,就有可能利用漏洞”。
尽管有这些发现,X41 D-Sec GmbH 还是承认 Mullvad VPN 应用程序具有较高的安全级别,并指出:“总体而言,Mullvad VPN 应用程序似乎具有较高的安全级别,能够很好地抵御本报告中提出的威胁模型”。报告还强调了 Mullvad 对安全的承诺,指出他们 “使用安全编码和设计模式,并结合定期审计和渗透测试”,“从而建立了一个非常坚固的环境”。
Mullvad VPN AB 已对发现的问题迅速做出反应,解决了漏洞问题,并进行了修复审计,以确保有效性。X41 D-Sec GmbH 建议继续定期进行安全审查并缓解已发现的问题,并指出这样做 “将加强系统的安全性,建议进行深度防御”。