Non sono state trovate vulnerabilità importanti in Mullvaddell’ultimo audit di sicurezza indipendente, ha affermato la società in a articolo del blog di venerdì. Un audit della nuova implementazione WireGuard di Mullvad, GotaTun, è stato condotto da Assered Safety Consultants con sede a Göteborg tra il 19 gennaio e il 15 febbraio 2026.
IL ultimo audit è la 18esima VPN in assoluto di Mullvad dal 2017 e consolida ulteriormente la posizione della VPN come una delle più trasparenti del settore. Tra Le migliori scelte VPN di CNETsoltanto ExpressVPN ha superato Mullvad, con 23 audit commissionati dal 2018.
Nello specifico, i consulenti per la sicurezza assicurati hanno completato un controllo del codice di GotaTunL’implementazione di Mullvad di il protocollo di connessione WireGuardscritto in ruggine. L’audit consisteva in una revisione del codice sorgente e nel check dell’intera implementazione di GotaTun, esclusa l’analisi del traffico AI di Mullvad che bloccava il codice DAITA e la sua interfaccia a riga di comando. Sebbene i revisori non abbiano riscontrato importanti vulnerabilità nel codice, hanno segnalato due problemi di sicurezza di gravità a basso rischio.
Il primo problema riguardava il modo in cui GotaTun gestiva la generazione dell’identificatore di sessione. I revisori hanno notato che GotaTun ha generato gli identificatori di sessione tramite un registro a scorrimento con suggestions lineare a 24 bit, mentre la specifica WireGuard richiede un numero casuale a 32 bit.
“Anche se non sembra indebolire la protezione dei tunnel di rete, potrebbe rivelare informazioni sul numero di peer e il numero di volte in cui sono state scambiate strette di mano con i peer a chiunque possa origliare il traffico di rete”, afferma l’audit.
Mullvad ha detto che la debolezza è stata fornita quasi nessuna informazione aggiuntiva a un osservatore perché avrebbe già informazioni sul conteggio totale dei peer e sulla durata della sessione. L’azienda ha comunque rilasciato una correzione in una versione successiva e ora implementa gli identificatori peer secondo le specifiche WireGuard.
Il secondo problema riguardava anche una deviazione dalle specifiche WireGuard in cui GotaTun non riempiva i pacchetti di dati a 16 byte prima della crittografia. I revisori hanno notato che questo non period un grosso problema crittografico, ma hanno raccomandato di aggiungere il riempimento per seguire le specifiche di WireGuard.
Mullvad ha già implementato una soluzione anche a questo problema, ma sottolinea che “la protezione fornita da questo riempimento è in qualche modo simile in natura, ma molto meno potente della nostra funzionalità DAITA. Mullvad consiglia a chiunque includa un’analisi sofisticata del traffico nel proprio modello di minaccia di considerare l’attivazione di DAITA.”
Sebbene gli audit indipendenti non siano perfetti e non dipingere un quadro completo poiché possono convalidare i risultati ottenuti solo nel corso dell’audit stesso, questo è un buon esempio di come gli audit possano aiutare le VPN a identificare e rafforzare le vulnerabilità, non importa quanto minori siano.
Mullvad ha costantemente dimostrato un impegno costante nei confronti della trasparenza e della privateness degli utenti. Il software program della VPN è completamente open supply, il che significa che il codice è pubblicamente disponibile affinché chiunque possa esaminarlo, ma il fatto che Mullvad faccia il passo in più per commissionare audit anche a società di sicurezza esterne aiuta a illustrare pienamente story impegno per la trasparenza.
La valutazione positiva di Assered Safety Consultants aiuta in definitiva a rafforzare la fiducia nella sicurezza e nell’affidabilità di GotaTun, rafforzando allo stesso tempo la posizione generale sulla privateness di Mullvad.
GotaTun mira a migliorare l’affidabilità e la velocità dell’implementazione WireGuard di Mullvad ed è stato rilasciato per l’app Android di Mullvad a dicembre, con l’intenzione di estenderlo advert altre piattaforme quest’anno.
