- Audit baru tidak menemukan kerentanan signifikan di GotaTun Mullvad
- Masalah kecil yang teridentifikasi telah diperbaiki, kata Mullvad
- GotaTun menggantikan implementasi WireGuard yang lama pada bulan Desember
Implementasi WireGuard dari Mullvad VPN, GotaTun, telah menerima lampu hijau dalam audit keamanan yang diselesaikan oleh auditor independen, dan melaporkan tidak ada kerentanan yang signifikan.
Ditulis dalam bahasa pemrograman Rust, Gota Tun adalah implementasi ruang pengguna dari protokol penerowongan jaringan WireGuard yang Tikus tanah diperkenalkan sebagai pengganti sumber terbuka untuk implementasi berbasis Go sebelumnya.
Diimplementasikan pada bulan Desember, sesaat sebelum Mullvad selesai pensiunnya OpenVPN protokol, sejauh ini memberikan kinerja yang lebih cepat, masa pakai baterai yang lebih lama pada perangkat seluler, dan kerusakan aplikasi yang jauh lebih sedikit, membuat aplikasi secara keseluruhan jauh lebih stabil.
Artikel berlanjut di bawah
Tapi bahkan VPN terbaik tidak bisa begitu saja mengklaim bahwa kode baru mereka bebas dari kelemahan keamanan; auditor pihak ketiga diperlukan untuk memverifikasi bahwa kode tersebut memang sesuai standar.
Apa yang ditemukan dalam audit – dan apa yang tidak
Antara 19 Januari dan 15 Februari, Assured Security Consultants yang berbasis di Gothenburg melakukan tinjauan singkat terhadap kode GotaTun untuk menguji seluruh konfigurasinya, dengan pengecualian antarmuka baris perintah dan spesifik. HARI kode.
Kode tersebut memperjelas semuanya, meyakinkan pengguna Mullvad bahwa VPN telah mengimplementasikannya secara akurat dan aman Protokol WireGuard dalam bahasa pemrograman asli mereka.
“Berdasarkan tinjauan kode kami, GotaTun tidak memiliki kerentanan besar,” auditor menyimpulkan dalam laporannya laporan.
Hal ini akan diterima dengan gembira oleh pengguna yang sebelumnya pernah mengalami crash dari implementasi non-Rust sebelumnya, yang kini dapat yakin bahwa pengalaman pengguna baru yang lebih ramping disertai dengan tingkat keamanan yang berkelanjutan.
Implementasi WireGuard kami, GotaTun baru-baru ini diaudit oleh Konsultan Keamanan Terjamin. Dua masalah dengan tingkat keparahan rendah yang teridentifikasi telah diperbaiki sebelum audit selesai. Tidak ada kerentanan besar yang ditemukan. Baca lebih lanjut di sini: https://t.co/ouHlGhr8Jg6 Maret 2026
Memang benar, Mullvad telah dilaporkan sebelumnya bahwa 85% dari semua kerusakan yang dicatat pada aplikasi Android-nya terkait langsung dengan konflik antara kode Rust Mullvad dan implementasi Go WireGuard.
Saat itulah tim VPN privasi menulis ulang implementasi WireGuard di Rust agar sesuai dengan tumpukan mereka: GotaTun, atau “masa depan WireGuard,” seperti yang disebut oleh Mullvad, yang implementasinya hampir menghilangkan masalah ini, dengan tingkat error di Android turun dari 0,4% menjadi sekitar 0,01%.
Audit tersebut lebih lanjut menegaskan bahwa baik Mullvad maupun penggunanya mempunyai alasan untuk merayakannya dan ketakutan akan crash kini tidak berdasar: kode tersebut sesuai dengan tujuannya.
Masih ada beberapa kekurangan
Namun, penting untuk dicatat bahwa hasil auditnya bukannya tanpa cela. Dua masalah kecil diidentifikasi dan dilaporkan untuk diperbaiki, di mana implementasi Rust Mullvad tidak mengikuti protokol resmi WireGuard dengan sempurna.
Kesalahan padding menunjukkan bahwa format data numerik yang dikirim oleh implementasi Rust tidak sesuai dengan spesifikasi protokol.
Masalah kedua juga menyoroti bahwa, meskipun protokol WireGuard memerlukan penetapan nomor acak, Mullvad tidak menggunakan metode yang sepenuhnya acak, namun metode yang lebih dapat diprediksi untuk menghasilkan nomor tersebut.
Itu mengaudit juga menunjukkan bahwa kode Rust WireGuard masih berisi tiga komentar yang mengatakan “TODO: validasi checksum,” dengan contoh terakhir memiliki tanda tanya di akhir. Ini harus diganti dengan komentar yang menjelaskan mengapa checksum tidak diperlukan, kata auditor.
Terakhir, beberapa bagian kode sebagian besar dikelola oleh tim yang sangat kecil, terdiri dari satu atau dua orang. Meskipun hal ini saat ini tidak menimbulkan risiko keamanan apa pun, hal ini menimbulkan kekhawatiran jangka panjang dalam hal kualitas dan pemeliharaan, karena tim yang secara statistik lebih besar cenderung menemukan lebih banyak bug dan mengurangi potensi kelemahan kode di masa depan, kata auditor.
Mullvad menyatakan bahwa sebagian besar rekomendasi ini telah diperbaiki sebelum hasilnya dipublikasikan, sebuah klaim yang kemungkinan besar akan diverifikasi dalam audit berikutnya.
Namun, bagi pengguna Mullvad yang ada dan calon pengguna, hasil saat ini memperkuat status Mullvad sebagai a VPN yang memprioritaskan privasi dan anonimitas pengguna, terus meningkatkan prinsip intinya melalui evaluasi pihak ketiga yang berarti.
Dan tampaknya, untuk saat ini, tidak ada kerusakan aplikasi yang dapat menghalanginya mencapai tujuannya.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
