X41 melakukan uji penetrasi kotak putih dengan akses kode sumber terhadap Tikus tanah Aplikasi VPN. Upaya tersebut antara lain merumuskan model ancaman ringan.
Target pengujian ini merupakan tantangan bagi tim karena ukurannya, fakta bahwa pengujian tersebut berjalan pada lima platform berbeda (Linux, Windows, macOS, Android, dan iOS), dan audit rutin yang dilakukan oleh Mullvad VPN. Fakta bahwa kerentanan baru ditemukan dalam kode yang ada menunjukkan bahwa upaya yang dilakukan secara rutin oleh Mullvad dapat dibenarkan dan sesuai untuk produk dengan kompleksitas seperti itu.
Hal ini juga menunjukkan bahwa pada target yang matang, temuannya cenderung berpindah ke domain yang tidak berada di bawah kendali langsung atau fokus langsung dari pengembangan aplikasi seperti yang dapat dilihat dalam temuan yang berakar dari perilaku spesifik sistem operasi atau interaksi berbagai lapisan jaringan dan protokol. .
Inilah yang membuat audit keamanan dan pengujian target yang matang dan sulit juga menarik bagi tim di X41.
Hasil
Sebanyak enam kerentanan ditemukan selama pengujian oleh X41.
Secara keseluruhan, Aplikasi Mullvad VPN tampaknya memiliki tingkat keamanan yang tinggi dan memiliki posisi yang baik untuk melindungi dari model ancaman yang diusulkan dalam laporan kami. Penggunaan pengkodean dan pola desain yang aman dikombinasikan dengan audit rutin dan uji penetrasi menyebabkan lingkungan yang sangat sulit.
Kerentanan paling serius dianggap sebagai kondisi balapan dan pelanggaran keamanan sementara yang menyebabkan masalah kerusakan memori pada kode pengendali sinyal. Meskipun eksploitasi kode pengendali sinyal setelah terpicu tampaknya bukan hal yang tidak mungkin terjadi, fakta bahwa penyerang perlu memicu sinyal terlebih dahulu melalui kesalahan lain mengurangi tingkat keparahan masalah. Kerentanan lain memungkinkan kebocoran informasi tentang identitas pengguna oleh penyerang jaringan yang berdekatan dan melakukan serangan saluran samping yang dalam keadaan tertentu dapat mengungkapkan situs mana yang sedang diakses klien.
Aspek serangan saluran samping dimitigasi di sebagian besar bagian, kecuali untuk serangan tingkat protokol yang tidak berada dalam kendali Mullvad VPN AB karena serangan tersebut berakar dari kombinasi teknologi berbeda seperti NAT dan varian modern dari protokol HTTP. Pengenalan teknologi kebingungan dan layanan proxy dalam VPN yang dilindungi merupakan pilihan bagi pengguna dengan tuntutan keamanan dan privasi yang lebih tinggi.
Kesimpulannya, aplikasi klien mengungkap sejumlah kerentanan yang relevan. Mullvad VPN AB mengatasinya dengan cepat dan perbaikannya diaudit agar berfungsi dengan baik.
X41 mengucapkan terima kasih kepada Mullvad VPN AB atas kolaborasi yang baik dan komunikasi yang lancar selama audit!
Temuan
milik Mullvad pengumuman tentang audit mencakup setiap temuan dan mitigasinya. Detail teknisnya dapat ditemukan dalam laporan kami, yang kami rilis hari ini.
Tautan
Laporan lengkap:
Jika Anda tertarik untuk bekerja bersama kami dalam proyek serupa di masa depan, baik jarak jauh maupun di kantor, lihat halaman pekerjaan kami!
