Dalam postingan blog pada hari Jumat, Mullvad mengumumkan bahwa tidak ditemukan kerentanan mayor dalam audit keamanan independen terbarunya. Audit terhadap implementasi WireGuard baru mereka, GotaTun, dilaksanakan oleh Assured Security Consultants yang berbasis di Gothenburg antara 19 Januari dan 15 Februari 2026.
Audit terbaru ini merupakan audit ke-18 bagi Mullvad sejak 2017, yang semakin mengukuhkan posisi VPN ini sebagai salah satu yang paling transparan di industri. Di antara pilihan VPN teratas CNET, hanya ExpressVPN yang memiliki lebih banyak audit—sebanyak 23 audit sejak 2018.
Secara spesifik, Assured menyelesaikan audit kode terhadap GotaTun, implementasi WireGuard berbasis Rust dari Mullvad. Audit mencakup tinjauan kode sumber dan pengujian seluruh implementasi GotaTun, kecuali kode DAITA untuk blocking analisis lalu lintas AI dan antarmuka baris perintahnya. Meski tidak ditemukan celah mayor, auditor menandai dua masalah keamanan dengan tingkat risiko rendah.
Masalah pertama terkait cara GotaTun menangani pembuatan identifikasi sesi. Auditor mencatat bahwa GotaTun menggunakan *Linear Feedback Shift Register* 24-bit, sementara spesifikasi WireGuard membutuhkan angka acak 32-bit. Laporan audit menyatakan, meski tidak melemahkan perlindungan terowongan jaringan, hal ini dapat mengungkap informasi jumlah *peer* dan frekuensi *handshake* kepada pihak yang menyadap lalu lintas.
Mullvad menyatakan kelemahan ini memberikan hampir tidak ada informasi tambahan bagi pengamat, karena informasi jumlah *peer* dan durasi sesi sudah dapat diketahui. Namun, perusahaan tetap merilis perbaikan dan kini mengimplementasikan identifikasi *peer* sesuai spesifikasi WireGuard.
Masalah kedua juga berupa penyimpangan dari spesifikasi WireGuard, di mana GotaTun tidak menambahkan *padding* paket data menjadi 16 byte sebelum enkripsi. Auditor mencatat ini bukan masalah kriptografis besar, tetapi merekomendasikan penambahan *padding* untuk kepatuhan spesifikasi.
Mullvad telah memperbaiki masalah ini pula, namun menegaskan bahwa perlindungan dari *padding* ini serupa sifatnya—namun jauh lebih lemah—dibandingkan fungsionalitas DAITA mereka. Mereka merekomendasikan pengguna yang memasukkan analisis lalu lintas canggih dalam model ancaman mereka untuk mengaktifkan DAITA.
Meski audit independen bukanlah gambaran lengkap dan tidak sempurna, karena hanya dapat memvalidasi temuan selama periode audit, kasus ini merupakan contoh baik bagaimana audit membantu VPN mengidentifikasi dan memperkuat celah, sekecil apa pun.
Mullvad secara konsisten menunjukkan komitmen kuat pada transparansi dan privasi pengguna. Perangkat lunaknya bersumber terbuka, dan langkah tambahan dengan menugaskan audit dari firma keamanan eksternal semakin mengilustrasikan komitmen tersebut.
Penilaian positif dari Assured Security Consultants pada akhirnya memperkuat kepercayaan terhadap keamanan dan keandalan GotaTun, seraya mengukuhkan postur privasi Mullvad secara keseluruhan.
GotaTun bertujuan meningkatkan keandalan dan kecepatan implementasi WireGuard Mullvad, telah dirilis untuk aplikasi Android pada Desember lalu, dengan rencana peluncuran ke platform lain tahun ini.