Article
Mullvad VPN: Exit-IPs als Fingerabdruck-Vektor
Ein interessanter Forschungsbericht deckt auf, wie Mullvads Multi-Exit-IP-Funktionalität paradoxerweise zur Identifizierung von Nutzern führen kann. Das Problem liegt nicht in der Anzahl der IPs, sondern in deren deterministische Zuweisung.
Das unexpected Privacy Leak
Mullvad bot mit seinen 578 Servern und Multiple-Exit-IPs pro Server eine scheinbare Verbesserung: Mehr IPs bedeuten weniger Nutzer pro IP, was Rate-Limits und IP-Sperren umgeht. Die Analyse zeigt jedoch, dass die Exit-IP nicht zufällig zugewiesen wird, sondern deterministisch vom WireGuard-Key abhängt – und dieser rotiert nur alle 1-30 Tage.
Das eigentliche Problem: Obwohl über 8,2 Trillionen IP-Kombinationen theoretisch möglich wären, werden nur 284 Kombinationen verwendet. Der Grund: Alle IPs landen im gleichen Perzentil-Pool. Wenn Sie die 81ste Position in einem Pool bekommen, erhalten Sie diese Position über alle Server hinweg.
Konsequenzen für die Anonymität
Nur wenige Server-Verbindungen reichen aus, um einen eindeutigen Fingerabdruck zu erstellen. Die Forschung zeigt, dass selbst sorgfältig konzipierte Privacy-Features unintendierte Konsequenzen haben können – deterministisches Seeding mit statischem RNG ist ein klassisches Anti-Pattern.