近日的一批疑似来自华为的Linux修补项目引爆后门程序疑虑,华为对此出面驳斥和该项目的关联性。
近日一个名为HKSP(Huawei Kernel Self Protection)项目上传到开发社群Openwall网站上,宣称项目旨在强化Linux核心的安全性。原作者说明,这项目是他工作之余的研究结果,和华为公司无关。他并表示,由于个人精力有限,无法面面俱到,因此警告本项目欠缺品质管控,像是检查或测试,也说只是一个示范程序。
不过由于名称中有华为字样,外界仍相信这个项目来自华为。事实上,Google、微软或Amazon、IBM等公司因为大量使用Linux具有足够开发资源,反馈Linux核心强化的项目也所在多有,华为上传程序代码也无可厚非。然而华为在网络设备上的争议犹存,使这个项目格外受关注。
一家安全厂商GRsecurity发现HKSP中有漏洞,该公司认为该漏洞出于完全欠缺安全防护意识的编写,而“可轻易开采”(trivially exploitable)。这引发其他开发人员质疑华为发布了一个有后门的修补程序。
周一华为出面否认。华为指出,经过调查显示,这批修补程序并非华为提供的官方版本,而是由一位开发人员上传Openwall的示范程序代码,也未用于所有华为设备中。
华为重申对产品程序代码有严格品质要求,对官方版本发布开源社群也有严厉的管理和流程要求。
原作者也在引发争议后感谢GRSecurity点出“大量bug”,并移除有问题的程序代码。此外他也移除和华为有关的字符串,强调因为是个人作品、不是华为官方项目之故。
华为联系GRSecurity,希望后者能修正描述。不过GRsecurity说,依据公开信息,原作者乃华为员工,且虽然他撇清程序代码和华为的关系,但他们从私下渠道得知,该员工还是华为公司等级最高的首席安全部门成员。这家厂商并认为原作者在Github repo偷偷摸摸的修改启人疑窦,因此决定仅以更新方式说明,并未删除其说法。