華為首席安全工程師提交暗藏漏洞的Linux核心修補程式?華為:和公司無關
華為周一否認一個漏洞百出的Linux核心修補程式提案和該公司有關聯,因為那只是員工的個人作品。
周末一個名為HKSP (Huawei Kernel Self Protection)的專案上傳到開發社群網站Openwall,意在為Linux核心加入一系列強化安全性的功能。
在資料中心及線上服務大量使用Linux的大廠,經常會上傳修補程式。Google、微軟、Amazon等都是Linux 程式碼的貢獻大戶。
華為首席安全工程師貢獻程式碼也貢獻了後門?
不過周日上傳的HKSP卻在Linux 社群引發猜疑,華為是不是要也想將什麼加入Linux核心?而使得這個專案引來關注,包括資安業者Grsecurity。這家業者當天就在部落格上點出HKSP一旦獲准,會在Linux 核心程式碼造成「輕易開採」的漏洞。一時之間華為偷偷在Linux加漏洞的謠言和陰謀論在網路上傳開。
在今日美中關係複雜的國際情勢下,此類指控已經不是第一次。過去幾年來,這家中國公司一直被指在網路設備中加入後門,不過華為也一再否認及喊冤。
同樣的,周一華為也嚴正聲明,該公司和HKSP專案沒有關係,雖然該專案內有華為名稱,而作者也是華為的首席安全工程師。
華為第一時間切割澄清與公司無關?
華為指出,此一專案是該工程師個人製作及上傳,是他用於Openwall社群技術討論用示範程式碼,公司並未提供任何支持,HKSP程式碼也從未用於華為任何產品內。隨後該名作者也在其專案上加入類似的聲明。
不過華為員工寫出程式碼含有安全漏洞也不是頭一回了。去年英國政府一份研究發現,華為網路設備有安全漏洞,但卻數年沒有被發現及修補。
而這次事件也反映出因為一再發現的安全漏洞、竊取機密、韌體藏祕密後門醞瓖出全世界對反華為情緒,以及西方國家相信中國政府藉華為設備竊聽全球通訊內容的恐中情結。
巧合的是,美國政府今日正式指控中國政府利用駭客和研究人員、學生等竊取美國武漢肺炎疫苗、藥物和檢測劑的研究,要藥廠、醫療院所及研究單位嚴加防範。
來源:ZDNet