GN⁺: Mullvad VPN 리뷰
(x41-dsec.de)-
Mullvad VPN 보안 감사
-
X41이 Mullvad VPN 애플리케이션에 대한 소스 코드 접근을 포함한 화이트 박스 침투 테스트를 수행함.
-
이 테스트는 Linux, Windows, macOS, Android, iOS 등 5개 플랫폼에서 실행되는 애플리케이션의 복잡성 때문에 도전적이었음.
-
정기적인 감사와 침투 테스트를 통해 Mullvad VPN 애플리케이션은 높은 보안 수준을 유지하고 있음.
-
테스트 결과
-
총 6개의 취약점이 발견됨.
-
가장 심각한 취약점은 신호 처리기 코드에서의 경쟁 조건과 시간 안전성 위반으로 인한 메모리 손상 문제임.
-
네트워크 인접 공격자가 사용자의 신원을 유출할 수 있는 취약점과 특정 상황에서 클라이언트가 현재 접속 중인 사이트를 드러낼 수 있는 부채널 공격이 있음.
-
Mullvad VPN AB는 이러한 취약점을 신속하게 해결하였고, 수정 사항이 제대로 작동하는지 감사받음.
-
결론
-
클라이언트 애플리케이션은 제한된 수의 관련 취약점을 드러냈으며, Mullvad VPN AB는 이를 신속하게 해결함.
-
X41은 Mullvad VPN AB와의 원활한 협력과 소통에 감사의 뜻을 전함.
-
링크
Hacker News 의견
-
X41의 Mullvad 감사 보고서에서 발견된 문제들은 비교적 간단함. DAITA(Defence against AI Traffic Analysis)에 대해 많이 의존하고 있음.
- DAITA는 AI 트래픽 분석에 대한 방어로, 추가적인 학습이 필요할 수 있음
-
VPN 사업은 요즘 매우 활발하지만, 고객을 제대로 대우하지 않거나 제공하는 서비스에 대해 투명하지 않다고 느껴짐
- 특히 스칸디나비아 국가에서 오는 "멋진" VPN들이 많다고 하지만, 실제로는 그렇지 않음
-
감사 보고서에서 위협 모델 섹션이 잘 작성되어 있음. 많은 감사 기관들이 이 부분을 생략하는 경우가 많음
- Cure53, Assured, Atredis와 같은 이전 감사 기관들이 Mullvad와 적절한 위협 모델을 설정했을 것으로 보임
-
공개 감사 보고서가 "이 회사는 매우 안전하고 잘하고 있다"는 식으로 작성되는 경우가 많음
- X41이 특정한 불만은 아니지만, 많은 평가 기관들이 이런 경향이 있음
- 그러나 Rust 프로그램에서 힙 손상 취약점을 발견한 것은 좋은 성과임
-
Mullvad VPN 앱에 대한 감사 보고서가 공개됨
- Mullvad 서비스가 아닌 앱에 대한 감사임
-
Mullvad는 과거에 훌륭했지만, 포트 포워딩을 중단하면서 토렌트 사용이 어려워짐
- OpenVPN의 지원 중단도 불편함을 초래함
- 다른 VPN으로 이동할 계획임
-
OpenBSD에서 WireGuard와 함께 Mullvad VPN을 사용 중이며, 잘 작동함
- 익명성을 위해 비트코인으로 월 단위 구매 가능함
-
"X41이 Mullvad VPN 앱을 감사했다"는 제목이 더 명확할 수 있음
-
VPN을 리뷰하는 진지한 웹사이트가 있는지 궁금함
- 인터넷에서 스폰서되지 않은 정보를 찾기가 항상 어려움
- Mullvad가 P2P를 지원하는 최고의 VPN 중 하나라는 평판이 있음