Mullvad hat seit dem 25. Mai 13 von rund 700 VPN-Servern auf die neue Exit-IP-Logik umgestellt. Das ist der Fix für die Fingerprinting-Lücke, die der Anbieter am 20. Mai selbst offengelegt hat. Umgestellt sind Standorte in Australien, Kanada, Deutschland, Finnland, Frankreich, Irland, Norwegen, Schweden und drei US-Servern. Mullvad führt die Liste der bereits umgestellten Server öffentlich auf einer Mitigation-Status-Seite, jeder Nutzer kann selbst nachsehen. Wer den Fix nicht abwarten will, kann sich einmal ab- und wieder anmelden. Das erzwingt einen neuen WireGuard-Schlüssel.
Server-by-Server statt Big-Bang, mit öffentlicher Status-Liste
Mullvad betreibt nach eigener Angabe rund 700 WireGuard-Server in über 40 Ländern. Statt alle gleichzeitig umzustellen, geht der Anbieter Standort für Standort vor und protokolliert jeden Schritt auf der öffentlichen Status-Seite unter mullvad.net. Wer dort nachschaut, sieht je Server eine Markierung dafür, ob die neue Exit-IP-Logik bereits aktiv ist. Tempo bisher: drei Tage, 13 Server. Bei diesem Schritt-Tempo dauert der vollständige Rollout mehrere Monate.
Die öffentliche Status-Liste ist der eigentlich interessante Teil. Wer einen anderen VPN-Anbieter nach dem Stand einer Sicherheits-Mitigation fragt, bekommt im besten Fall eine Pressemitteilung mit einem Datum „in den kommenden Wochen“. Mullvad verlinkt eine Server-für-Server-Liste, die jeder Nutzer ohne Login einsehen kann. Diese Praxis ist im kommerziellen VPN-Segment kaum verbreitet.
Was Mullvad-Nutzer in den nächsten Wochen tun sollten
Für den durchschnittlichen Mullvad-Nutzer ist die Lücke kein akutes Problem. Werbe-Tracker und einzelne Websites können die Korrelation nicht herstellen, weil sie keinen gleichzeitigen Blick auf mehrere Mullvad-Server haben. Wer Mullvad gegen einen Akteur einsetzt, der gezielt mehrere Server beobachten kann, sollte die offizielle Sofortmaßnahme befolgen: einmal aus- und wieder einloggen. Damit wird ein neuer WireGuard-Schlüssel erzeugt, und die Korrelation zwischen alten und neuen Sessions ist unterbrochen.
Wer den techboys-Test zu Mullvad gelesen hat, kennt den Setup-Aufwand des Anbieters. Eine Neu-Anmeldung dauert weniger als eine Minute. Das ist der Kosten-Nutzen-Vergleich, den Mullvad implizit anbietet: kleiner Aufwand sofort, vollständige Lösung über Wochen.
Status-Page statt Marketing-Schweigen
Im Artikel zu Operation Saffron und Mullvad ist die Hauptfrage gestellt worden, nach welchen Kriterien ein VPN-Anbieter überhaupt vertrauenswürdig ist. Eine der zwei genannten Antworten lautete: Wie geht der Anbieter mit öffentlich gemeldeten Schwächen um? Macht er Selbst-Advisories oder Marketing-Schweigen? Der jetzige Rollout-Verlauf ist der nächste Datenpunkt zur Beantwortung.
Mullvad hat den Bug fünf Tage nach der Disclosure des Forschers tmctmt selbst veröffentlicht, eine Mitigation entwickelt, eine öffentliche Status-Page eingerichtet, und mit dem Rollout begonnen. Alles innerhalb von rund einer Woche. Welche anderen VPN-Anbieter in dieser Geschwindigkeit auf einen Forscher-Report reagieren würden, ist eine offene Frage. Bei manchen wäre der Bug heute vermutlich noch nicht beim Sicherheitsteam angekommen.
Der Rollout läuft, der nächste Datenpunkt steht
Bei aktuellem Tempo sollten die wichtigsten Standorte bis Ende Juni umgestellt sein. Wer Mullvad-Nutzer ist und gerade zwischen Servern hin- und herwechselt, hat eine Einminuten-Lösung in der eigenen App. Wer Mullvad evaluiert, hat einen weiteren Datenpunkt: Status-Pages statt Pressemeldungen, Re-Login als Workaround statt „erst beim nächsten Update“. Die Kompetenz-Signale stimmen weiter.
