Er zijn geen grote kwetsbaarheden gevonden in Wrat’s nieuwste onafhankelijke beveiligingsaudit, zei het bedrijf in een blogpost op vrijdag. Tussen 19 januari en 15 februari 2026 werd een audit van Mullvads nieuwe WireGuard-implementatie, GotaTun, uitgevoerd door het in Göteborg gevestigde Assured Security Consultants.
De laatste audit is Mullvad’s 18e overall sinds 2017, en versterkt de positie van de VPN als een van de meest transparante in de branche verder. Te midden van De beste VPN-keuzes van CNETalleen ExpressVPN heeft Mullvad overtroffen, met 23 audits die sinds 2018 zijn uitgevoerd.
Concreet heeft Assured Security Consultants een code-audit afgerond van GotaTunMullvad’s implementatie van het WireGuard-verbindingsprotocolgeschreven in Roest. De audit bestond uit een broncodebeoordeling en het testen van de gehele GotaTun-implementatie, met uitzondering van de AI-verkeersanalyse van Mullvad die de DAITA-code en de opdrachtregelinterface blokkeerde. Hoewel auditors geen grote kwetsbaarheden in de code hebben aangetroffen, hebben ze wel twee beveiligingsproblemen met een laag risico opgemerkt.
Het eerste probleem had te maken met de manier waarop GotaTun omging met het genereren van sessie-identifiers. Auditors merkten op dat GotaTun de sessie-ID’s genereerde via een 24-bit Linear Feedback Shift Register, terwijl de WireGuard-specificatie een 32-bit willekeurig getal vereist.
“Hoewel het de bescherming van netwerktunnels niet lijkt te verzwakken, zou het informatie over het aantal peers en het aantal keren dat er handdrukken zijn uitgewisseld met de peers kunnen onthullen aan iedereen die het netwerkverkeer kan afluisteren”, aldus de audit.
Mullvad zei dat de zwakte zorgde vrijwel geen aanvullende informatie aan een waarnemer, omdat deze al over het totale aantal peers en informatie over de sessieduur beschikt. Het bedrijf bracht niettemin een oplossing uit in een volgende release en implementeert nu peer-identifiers volgens de WireGuard-specificaties.
Het tweede probleem betrof ook een afwijking van de WireGuard-specificaties, waarbij GotaTun datapakketten vóór de codering niet opvulde tot 16 bytes. Auditors merkten op dat dit geen groot cryptografisch probleem was, maar adviseerden om de opvulling toe te voegen om de WireGuard-specificaties te volgen.
Mullvad heeft hier ook al een oplossing voor geïmplementeerd, maar wijst erop dat “de bescherming die deze opvulling biedt enigszins vergelijkbaar van aard is, maar veel minder krachtig dan onze DAITA-functionaliteit. Mullvad raadt iedereen die geavanceerde verkeersanalyse in zijn dreigingsmodel opneemt, aan om DAITA in te schakelen.”
Hoewel onafhankelijke audits niet perfect zijn en schets geen volledig beeld Omdat ze hun bevindingen alleen tijdens de audit zelf kunnen valideren, is dit een goed voorbeeld van hoe audits VPN’s kunnen helpen kwetsbaarheden te identificeren en te versterken, hoe klein deze ook zijn.
Mullvad heeft consequent blijk gegeven van een niet-aflatende toewijding aan transparantie en gebruikersprivacy. De software van de VPN is volledig open source, wat betekent dat de code voor iedereen toegankelijk is om te inspecteren. Maar het feit dat Mullvad de extra stap zet om ook audits door externe beveiligingsbedrijven te laten uitvoeren, illustreert die toewijding aan transparantie volledig.
De positieve beoordeling van Assured Security Consultants helpt uiteindelijk het vertrouwen in de veiligheid en betrouwbaarheid van GotaTun te vergroten, terwijl tegelijkertijd de algehele privacypositie van Mullvad wordt versterkt.
GotaTun heeft tot doel de betrouwbaarheid en snelheid van de WireGuard-implementatie van Mullvad te verbeteren en werd in december uitgebracht voor de Android-app van Mullvad, met plannen om dit jaar uit te rollen naar andere platforms.
