Studie: Mullvads geteilte Exit‑IPs können Nutzer weiterhin identifizieren
Mullvads rotierende IPs sind vielleicht weniger anonym, als sie scheinen
Neue Forschungsergebnisse deuten darauf hin, dass Mullvad VPNs System mit geteilten Exit‑IPs, das entworfen wurde, um die Nachteile überfüllter VPN‑Adressen zu vermindern, trotzdem benutzt werden kann, um Nutzer zu fingerprinten und damit die Privatsphäre zu beeinträchtigen.
Mullvad ist unter VPN‑Anbietern insofern ungewöhnlich, als pro Server mehrere Exit‑IPs angeboten werden. Das bedeutet, dass zwei Personen, die sich mit demselben Server verbinden, für Websites oft unter unterschiedlichen öffentlichen IP‑Adressen erscheinen. Die Konfiguration soll die Probleme vermeiden, die entstehen, wenn zu viele Nutzer hinter einer einzigen IP zusammengefasst werden — besonders bei Diensten, die VPN‑Verkehr aggressiv blockieren oder drosseln.
Die Forschung zeigt jedoch, dass die zugewiesene Exit‑IP nicht bei jeder Verbindung zufällig gewählt wird. Stattdessen wird sie deterministisch auf Basis des WireGuard‑Keys des Nutzers ausgewählt, der alle 1 bis 30 Tage rotiert — sofern kein Drittanbieter‑Client verwendet wird, in welchem Fall er möglicherweise nie rotiert.
Um das System zu testen, änderte der Forscher wiederholt einen Public Key und sammelte Exit‑IPs von neun Servern, wobei er über Nacht Daten für 3.650 Pubkeys erzeugte. Das reichte aus, um den Exit‑IP‑Bereich jedes Servers zu kartieren. Obwohl die möglichen Kombinationen über diese Server hinweg mehr als 8,2 Billionen ergaben, fielen die beobachteten Ergebnisse auf nur 284 Kombinationen zusammen.
Das Muster war noch deutlicher, als der Forscher die Exit‑IPs in Positionen innerhalb der Pools jedes Servers umwandelte. Über die 284 Kombinationen landeten die IPs konsistent am selben Perzentil innerhalb ihrer jeweiligen Pools — in einem Fall etwa am 81. Perzentil. Das deutet darauf hin, dass Mullvad nicht irgendeine IP nach dem Zufallsprinzip auswählt, sondern benachbarte Exit‑IPs koordiniert über Server hinweg zuweist.
Zwei Server, cl-scl-wg-001 und za-jnb-wg-002, teilten wiederholt dieselben IP‑Indizes über alle beobachteten Kombinationen hinweg. Der Forscher sagt, beide hätten Poolgrößen von 11, was auf einen seed‑basierten Zufallszahlengenerator als wahrscheinlichen Mechanismus hindeutet — wobei der Pubkey oder die Tunneladresse als Seed und die Poolgröße als Grenze fungiert.
Die Implikation ist, dass obwohl Mullvads Exit‑IPs geteilt werden, sie dennoch ein stabiles Muster bilden können, das verwendet werden kann, um Nutzer über die Zeit zu identifizieren oder zu verfolgen.
Quellen: