1.新聞網址︰
https://www.ithome.com.tw/news/137611
2.新聞來源︰
it home
3.新聞內容︰
爆Linux修補專案有後門,華為否認與之有關
一個上傳到開發社群的Linux修補專案被發現有可輕易開採的漏洞,專案作者是華為安全
部門員工
按讚加入iThome粉絲團
文/林妍溱 | 2020-05-14發表
情境示意圖,Photo by Chris Barbalis on unsplash
近日的一批疑似來自華為的Linux修補專案引爆後門程式疑慮,華為對此出面駁斥和該專
案的關聯性。
近日一個名為HKSP(Huawei Kernel Self Protection)專案上傳到開發社群Openwall網
站上,宣稱專案旨在強化Linux核心的安全性。原作者說明,這專案是他工作之餘的研究
結果,和華為公司無關。他並表示,由於個人精力有限,無法面面俱到,因此警告本專案
欠缺品質控管,像是檢查或測試,也說只是一個示範程式。
不過由於名稱中有華為字樣,外界仍相信這個專案來自華為。事實上,Google、微軟或
Amazon、IBM等公司因為大量使用Linux具有足夠開發資源,回饋Linux核心強化的專案也
所在多有,華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存,使這個專案
格外受關注。
一家安全廠商GRsecurity發現HKSP中有漏洞,該公司認為該漏洞出於完全欠缺安全防護意
識的編寫,而「可輕易開採」(trivially exploitable)。這引發其他開發人員質疑華
為釋出了一個有後門的修補程式。
周一華為出面否認。華為指出,經過調查顯示,這批修補程式並非華為提供的官方版本,
而是由一位開發人員上傳Openwall的示範程式碼,也未用於所有華為裝置中。
華為重申對產品程式碼有嚴格品質要求,對官方版本釋出開源社群也有嚴厲的管理和流程
要求。
原作者也在引發爭議後感謝GRSecurity點出「大量臭蟲」,並移除有問題的程式碼。此外
他也移除和華為有關的字串,強調因為是個人作品、不是華為官方專案之故。
華為聯絡GRSecurity,希望後者能修正描述。不過GRsecurity說,依據公開資訊,原作者
乃華為員工,且雖然他撇清程式碼和華為的關係,但他們從私下管道得知,該員工還是華
為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的
修改啟人疑竇,因此決定僅以更新方式說明,並未刪除其說法。
4.附註、心得、想法︰
寫這新聞的根本大外行,漏洞跟後門根本是二回事
示範一下什麼叫exploitable
a()
{
..... 一堆無關的程式碼
b(); 這裡去呼叫b()
...... 又一堆無關的程式碼 Y
}
b()
{
string s[10];
...b()裡面有什麼完全無關,重點是這裡的事作完了要回去Y的地方
}
s[]只有10個位置,如果塞100個位置的東西進去
b()就沒有辦法回到Y的地方去了
所以 s[]是個exploitable的變數