我们的应用程式安全审计报告已上线

我们的应用安全审计报告已经发布

2022年10月21日 外部审计应用 安全

对Mullvad VPN应用程序的安全评估结果表明，从安全角度来看，该应用程序架构合理。虽然发现了一些问题，但我们已经尽可能地进行了修复。

在Mullvad，我们每两年进行一次VPN应用的外部安全审计。我们在2018年和2020年进行过审计。两年后，Atredis Partners刚刚对我们的应用进行了一次渗透测试和源代码审计。此次安全评估涵盖了Windows、Linux、macOS、Android和iOS这五个支持的平台。

以下是报告的主要结论摘要：

总体而言，Atredis Partners发现Mullvad VPN客户端从安全角度来看架构良好，外部恶意方能够触及的攻击面有限，并且已经实施了重要保护机制以防止多数意外流量泄漏。Atredis Partners检测到一些边缘情况，可能会在VPN隧道外意外泄露流量。这些泄漏要么已被Mullvad团队迅速修复，要么是由于操作系统本身的原因，在这种情况下，Mullvad团队更新了文档并在适当的时候向操作系统供应商提交了问题反馈。

和任何安全评估一样，有些方面可以改进，但总体而言，Atredis Partners将Mullvad VPN客户端评为从安全角度来说是可靠的。

阅读报告

完整的最终报告可以在Atredis的网站上和我们应用的源代码库中获取。

独立审计帮助我们发现潜在的安全漏洞并修复它们，从而为用户提供更好的服务。这也使您有机会判断我们是否具备足够的技术能力来提供安全至上的服务。

升级应用

审计仅发现了两个与Mullvad应用有关的问题。其余的问题是底层操作系统的限制和缺陷，我们只能记录这些缺陷并对操作系统厂商施加压力，让其进行修复。

被修复的两个问题已包含在我们桌面应用的20225版本中。如果您使用的是旧版本，请进行升级，它能够修复计算机启动和关闭期间的潜在泄漏。Android和iOS用户则无需因本次审计进行升级，但我们始终鼓励用户使用最新版本。

问题概述

本章节将呈现Mullvad对报告中所有安全发现的回应。如需了解发现的详细内容，请参阅报告。

在五个发现中，有两个是 中等 级别，两个是 低 级别，另一个是 信息 级别。这意味着审计人员没有发现任何高或严重的漏洞。

MUL2201 (低)：winsplittunnel中的越界读取Windows

mullvadsplittunnel内核驱动的设备访问权限要求连接进程具有管理员权限。同时，它只允许在任何时刻连接一个用户空间进程。因此，攻击者需要同时具备管理员权限，并在连接驱动并触发该漏洞之前停止mullvaddaemon服务。Mullvad认为这种情况发生的可能性较小，而且不在应用应保护的范围内。如果攻击者已经拥有管理员权限，他们可以做更严重的事情，而不仅仅是利用这个漏洞。

该漏洞可能不会导致权限提升。攻击者已需为管理员，我们没有迹象表明管理员可以利用此漏洞获取进一步的权限。

尽管漏洞严重性较低，但它已在内核驱动中被修复。此PR修复了该漏洞，并已将修补后的驱动包含在应用版本20225beta1中。

MUL2202 (中等)：系统关机期间的流量泄漏

在审计开始前不久，Mullvad工程师发现，在Linux和macOS上启动期间存在一个时间窗口，流量可能会泄漏，即使“开机自启”和“自动连接”已启用。这是因为我们的系统服务(mullvaddaemon)未配置为必须在操作系统初始化网络之前启动。如果操作系统决定在启动过程中晚些时候启动mullvaddaemon，则其他程序可能会在没有VPN的情况下与网络通信，持续几秒。这在审计开始前已向Atredis报告为已知问题，并且同时开发了修复。启动泄漏在Linux上修复了，与审计开始同时进行。

在启动泄漏修复一周后，Atredis报告了MUL2202，他们发现Unix平台在关机期间存在类似的潜在泄漏窗口。经过调查，Mullvad得出结论，Windows上也存在该问题。该漏洞在三个桌面操作系统上通过两个不同的PR进行了缓解。Linux和macOS的#3940和Windows的#3942。所有修复均包含在应用版本20225beta1中，包括Linux上的启动泄漏修复。

在此领域，唯一未能完全缓解的问题是macOS启动时的潜在泄漏。这是因为macOS不允许系统服务指定依赖关系或启动顺序。因此，我们尚无已知的方法强制macOS在网络配置之前启动mullvaddaemon。我们已更新我们的安全文档，以反映这一已知问题，我们将致力于让用户更清楚这一点。

MUL2203 (中等)：连接检查绕过VPNAndroid

一般而言，Mullvad无法采取太多措施来防止此类流量泄漏发生。我们能做的只是提高对此问题的关注，并尝试施压谷歌使用户能够禁用连接检查。我们对这一发现的回应包括：

MUL2204 (低)：Android上的宽松入站网络过滤

就我们所知，Mullvad或其他任何VPN应用在这方面都无能为力。Android不会阻止入站连接。然而，这仍被视为低严重性问题。设备必须主动向网络公开某些服务，才会有连接请求。

我们已更新我们的安全文档以提及此限制。

MUL2205 (信息)：Siri快捷指令易受到操控iOS

Siri快捷指令集成为可选，不会默认启用。此外，Mullvad认为这一攻击更可能是针对Siri身份验证，而非我们的应用。Siri应该只对拥有者的声音做出反应。

如果此发现对某用户构成担忧，我们建议用户在Mullvad应用中禁用Siri集成。

最后致谢

我们感谢Atredis Partners的顺利合作、良好沟通和出色的安全评估工作！