情境示意圖,Photo by Chris Barbalis on unsplash

近日的一批疑似來自華為的Linux修補專案引爆後門程式疑慮,華為對此出面駁斥和該專案的關聯性。

近日一個名為HKSP(Huawei Kernel Self Protection)專案上傳到開發社群Openwall網站上,宣稱專案旨在強化Linux核心的安全性。原作者說明,這專案是他工作之餘的研究結果,和華為公司無關。他並表示,由於個人精力有限,無法面面俱到,因此警告本專案欠缺品質控管,像是檢查或測試,也說只是一個示範程式。

不過由於名稱中有華為字樣,外界仍相信這個專案來自華為。事實上,Google、微軟或Amazon、IBM等公司因為大量使用Linux具有足夠開發資源,回饋Linux核心強化的專案也所在多有,華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存,使這個專案格外受關注。

一家安全廠商GRsecurity發現HKSP中有漏洞,該公司認為該漏洞出於完全欠缺安全防護意識的編寫,而「可輕易開採」(trivially exploitable)。這引發其他開發人員質疑華為釋出了一個有後門的修補程式。

周一華為出面否認。華為指出,經過調查顯示,這批修補程式並非華為提供的官方版本,而是由一位開發人員上傳Openwall的示範程式碼,也未用於所有華為裝置中。

華為重申對產品程式碼有嚴格品質要求,對官方版本釋出開源社群也有嚴厲的管理和流程要求。

原作者也在引發爭議後感謝GRSecurity點出「大量臭蟲」,並移除有問題的程式碼。此外他也移除和華為有關的字串,強調因為是個人作品、不是華為官方專案之故。

華為聯絡GRSecurity,希望後者能修正描述。不過GRsecurity說,依據公開資訊,原作者乃華為員工,且雖然他撇清程式碼和華為的關係,但他們從私下管道得知,該員工還是華為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的修改啟人疑竇,因此決定僅以更新方式說明,並未刪除其說法。


Advertisement

更多 iThome相關內容