Er zijn geen grote kwetsbaarheden ontdekt Gopherslaatste onafhankelijke veiligheidsaudit, zei het bedrijf in een blogpost op vrijdag. Tussen 19 januari en 15 februari 2026 werd een audit van Mullvads nieuwe WireGuard-implementatie, GotaTun, uitgevoerd door het in Göteborg gevestigde Assured Security Consultants.
Dat laatste audit is Mullvad’s 18e overall sinds 2017, en verstevigt de positie van de VPN als een van de meest transparante in de branche verder. Tussen De beste VPN-keuzes van CNETalleen Express-VPN heeft beter gepresteerd dan de audits van Mullvad, met 23 audits uitgevoerd sinds 2018.
Concreet voltooien Assured Security Consultants code-audits Goh TunMullvad-implementatie WireGuard-verbindingsprotocolgeschreven in Roest. De audit bestond uit een beoordeling van de broncode en het testen van de gehele GotaTun-implementatie, met uitzondering van de analyse van Mullvad AI-verkeer dat de DAITA-code en de opdrachtregelinterface ervan blokkeerde. Hoewel auditors geen grote kwetsbaarheden in de code hebben aangetroffen, hebben zij twee beveiligingsproblemen met een laag risico opgemerkt.
Het eerste probleem heeft te maken met de manier waarop GotaTun omgaat met het genereren van sessie-identifiers. De auditor merkte op dat GotaTun sessie-identifiers genereert via een 24-bit Linear Feedback Shift Register, terwijl de WireGuard-specificatie een 32-bit willekeurig getal vereist.
“Hoewel het de netwerktunnelbescherming niet lijkt te verzwakken, zou het informatie over het aantal peers en het aantal handshakes met die peers kunnen onthullen aan iedereen die het netwerkverkeer zou kunnen afluisteren”, aldus de audit.
Mullvad zegt dat de zwakte aanwezig is vrijwel geen aanvullende informatie aan de waarnemer omdat deze al informatie heeft over het totale aantal partners en de duur van de sessie. Het bedrijf heeft de oplossing toch in volgende releases uitgebracht en implementeert nu de peer-identifier volgens de WireGuard-specificatie.
Het tweede probleem betreft ook een afwijking van de WireGuard-specificatie, in die zin dat GotaTun geen datapakketten tot 16 bytes vóór de codering bevat. De auditor merkte op dat dit geen groot cryptografisch probleem was, maar adviseerde om opvulling toe te voegen om de WireGuard-specificaties te volgen.
Mullvad heeft hier ook een oplossing voor geïmplementeerd, maar benadrukt dat “de bescherming die deze opvulling biedt vergelijkbaar van aard is, maar minder robuust dan onze DAITA-functionaliteit. Mullvad raadt iedereen aan om geavanceerde verkeersanalyse in hun dreigingsmodellen op te nemen om te overwegen om DAITA in te schakelen.”
Hoewel onafhankelijke audits niet perfect zijn en schets niet het volledige beeld Omdat ze hun bevindingen alleen tijdens de audit zelf kunnen valideren, is dit een goed voorbeeld van hoe audits VPN’s kunnen helpen kwetsbaarheden, hoe klein deze ook zijn, te identificeren en te bufferen.
Mullvad heeft consequent blijk gegeven van een niet-aflatende toewijding aan transparantie en gebruikersprivacy. De VPN-software is volledig open source, wat betekent dat de code voor iedereen toegankelijk is om te inspecteren, maar Mullvad zette de extra stap door een audit uit te laten voeren door een extern beveiligingsbedrijf en hielp ook zijn volledige toewijding aan transparantie te illustreren.
De positieve beoordeling van Assured Security Consultants heeft er uiteindelijk toe bijgedragen dat het vertrouwen in de veiligheid en betrouwbaarheid van GotaTun is toegenomen, terwijl Mullvads algehele privacypositie is versterkt.
GotaTun heeft tot doel de betrouwbaarheid en snelheid van de WireGuard-implementatie van Mullvad te verbeteren en werd in december uitgebracht voor de Android-app van Mullvad, met plannen om dit jaar uit te rollen naar andere platforms.
