MASA подтверждает обновления безопасности Android-приложения Mullvad

Вторая оценка MASA показала улучшения безопасности Android-приложения Mullvad, исправлены мелкие уязвимости и добавлена прозрачность данных.

2026-06-02 GIGATAP Team #tools
#vpn#security assessment#MASA

MASA подтвердила улучшения безопасности Android-приложения#

Источник: https://www.mullvad.net/en/blog/2026/6/1/2026-security-assessment-of-our-android-app/

Android-приложение Mullvad прошло вторую оценку Mobile Application Security Assessment (MASA), подтвердив соответствие спецификации Mobile App Profile (MAP). Оценка касалась версии 2026.2 и выявила незначительные вопросы, которые были устранены в версии 2026.3-beta3, позже выпущенной как 2026.3.

Основные изменения#

Оценка выявила шесть проблем, большинство из которых носили операционный характер, а не критические уязвимости:

  • Immutable Pending Intents: Ранее помечались как изменяемые, теперь установлены как неизменяемые, снижая риск неправильного использования, хотя он был ограничен из-за ограниченного применения intents.
  • Маскирование чувствительных данных: Номера аккаунтов и пользовательские пароли API ранее отображались в открытом виде. Теперь эти поля скрыты по умолчанию, предотвращая просмотр со стороны.
  • Прозрачность сбора данных: Отслеживание покупок в приложении для возвратов отсутствовало в раскрытии данных Google Play. Теперь оно корректно отражено.
  • Удаление аккаунта: Ранее функция отсутствовала, чтобы предотвратить злоупотребления; теперь добавлена возможность удаления аккаунта в приложении в соответствии со стандартами MAP.

Зачем это важно#

Для пользователей эти изменения повышают операционную безопасность без изменения основной функциональности. Маскирование чувствительных данных и неизменяемые intents уменьшают вероятность атак с низкой вероятностью. Обновленные раскрытия данных повышают прозрачность и соответствие требованиям. Функция удаления аккаунта обеспечивает соответствие стандартам и ограничивает потенциальные злоупотребления.

Что проверить#

  • Убедиться, что версия приложения 2026.3 или новее, чтобы все проблемы MASA были исправлены.
  • Проверить поля ввода на корректное маскирование чувствительной информации.
  • Убедиться, что функция удаления аккаунта доступна, если это важно для вашего сценария.
  • Проверить раскрытия данных в Google Play, особенно для данных, связанных с покупками.

Что не стоит преувеличивать#

  • Выявленные проблемы были незначительными и не использовались активно. Нет доказательств нарушений безопасности, влияющих на пользователей.
  • Соответствие MASA не гарантирует защиту от будущих уязвимостей, лишь подтверждает соблюдение MAP на момент оценки.

Практические выводы#

  • Пользователи могут быть уверены в безопасности, обновившись до версии 2026.3.
  • Команды безопасности должны учитывать MASA как шаг валидации, но продолжать мониторинг поведения приложения и внешних зависимостей.
  • Улучшения прозрачности и соответствия касаются операций, а не функциональности, повышая доверие без изменения VPN или маршрутизации трафика.

В целом оценка отражает дисциплинированную операционную безопасность, а не реактивное исправление. Приложение теперь соответствует текущим стандартам MAP и предоставляет прозрачные механизмы работы с чувствительными данными и управлением аккаунтом.