Nenhuma vulnerabilidade importante foi encontrada em Mullvadúltima auditoria de segurança independente, a empresa disse em um postagem no blog na sexta-feira. Uma auditoria da nova implementação WireGuard da Mullvad, GotaTun, foi conduzida pela Assured Security Consultants, com sede em Gotemburgo, entre 19 de janeiro e 15 de fevereiro de 2026.
O última auditoria é o 18º da Mullvad desde 2017 e consolida ainda mais a posição da VPN como uma das mais transparentes do setor. Entre As principais escolhas de VPN da CNETapenas ExpressVPN superou a auditoria da Mullvad, com 23 auditorias encomendadas desde 2018.
Especificamente, a Assured Security Consultants concluiu uma auditoria de código de Gota TunA implementação de Mullvad de o protocolo de conexão WireGuardescrito em ferrugem. A auditoria consistiu em uma revisão do código-fonte e testes de toda a implementação do GotaTun, excluindo a análise de tráfego de IA do Mullvad que bloqueia o código DAITA e sua interface de linha de comando. Embora os auditores não tenham encontrado vulnerabilidades importantes no código, eles sinalizaram dois problemas de segurança de gravidade de baixo risco.
A primeira questão tinha a ver com a forma como o GotaTun lidava com a geração de identificadores de sessão. Os auditores observaram que o GotaTun gerou os identificadores de sessão por meio de um Linear Feedback Shift Register de 24 bits, enquanto a especificação WireGuard exige um número aleatório de 32 bits.
“Embora não pareça enfraquecer a proteção dos túneis de rede, pode revelar informações sobre o número de pares, bem como o número de vezes que handshakes foram trocados com os pares para qualquer pessoa que possa espionar o tráfego da rede”, afirma a auditoria.
Mullvad disse que a fraqueza proporcionou quase nenhuma informação adicional para um observador porque eles já teriam informações sobre a contagem total de pares e a duração da sessão. Mesmo assim, a empresa emitiu uma correção em uma versão subsequente e agora implementa identificadores de pares de acordo com as especificações do WireGuard.
O segundo problema também envolveu um desvio das especificações do WireGuard, em que o GotaTun não preencheu os pacotes de dados para 16 bytes antes da criptografia. Os auditores observaram que este não era um grande problema criptográfico, mas recomendaram adicionar o preenchimento para seguir as especificações do WireGuard.
Mullvad também já implementou uma correção para isso, mas ressalta que “a proteção que esse preenchimento fornece é de natureza um tanto semelhante, mas muito menos poderosa do que nossa funcionalidade DAITA. Mullvad recomenda que qualquer pessoa que inclua análises de tráfego sofisticadas em seu modelo de ameaça considere ativar o DAITA.”
Embora as auditorias independentes não sejam perfeitas e não pinte um quadro completo como só podem validar as suas conclusões durante a auditoria em si, este é um bom exemplo de como as auditorias podem ajudar as VPNs a identificar e reforçar vulnerabilidades, por menores que sejam.
Mullvad tem demonstrado consistentemente um compromisso inabalável com a transparência e a privacidade do usuário. O software da VPN é totalmente de código aberto, o que significa que o código está disponível publicamente para qualquer pessoa inspecionar, mas o fato de Mullvad dar um passo extra para encomendar auditorias de empresas de segurança externas também ajuda a ilustrar totalmente esse compromisso com a transparência.
A avaliação positiva da Assured Security Consultants ajuda a reforçar a confiança na segurança e confiabilidade do GotaTun, ao mesmo tempo que fortalece a postura geral de privacidade da Mullvad.
GotaTun visa melhorar a confiabilidade e a velocidade da implementação do WireGuard da Mullvad e foi lançado para o aplicativo Android da Mullvad em dezembro, com planos de implementação para outras plataformas este ano.
