Huawei poriče umiješanost u prijedlog zakrpe Linux kernela s greškama

Huawei je u ponedjeljak zanijekao bilo kakvu službenu umiješanost u nesigurnu zakrpu poslanu na projekt jezgre Linuxa tijekom vikenda; zakrpa koja je uvela ranjivost "trivijalno iskoristivu".

Buggy patch je bio podnesen službenom projektu jezgre Linuxa putem svoje mailing liste u nedjelju. Imenovan HKSP (Huawei Kernel Self Protection), zakrpa je navodno uvela niz sigurnosnih opcija za jačanje Linux kernela.

Velike tehnološke tvrtke koje intenzivno koriste Linux u svojim podatkovnim centrima i online uslugama, često dostavljaju zakrpe za Linux kernel. Poznato je da su tvrtke poput Googlea, Microsofta, Amazona i drugih doprinijele kodu.

Ranjivost koja se lako može iskoristiti pronađena je u HKSP-u

U nedjelju je podnesak HKSP-a izazvao interes u Linux zajednici što bi moglo signalizirati Huaweijevu želju da eventualno pridonese službenom kernelu. Zbog toga se zakrpa odmah našla pod lupom, uključujući programere Grsecurityja, projekta koji nudi vlastiti skup sigurnosnih zakrpa za Linux kernel.

U postu na blogu objavljenom istog dana Grsecurity tim je rekao da je otkrio da HKSP zakrpa uvodi "trivijalno iskoristiv" ranjivost u kodu kernela -- ako je zakrpa trebala biti odobrena.

Glasine i teorije zavjere gotovo su odmah počele online, optužujući Huawei da pokušava podmuklo uvesti ranjivosti u Linux kernel.

U današnjem kompliciranom političkom krajoliku takve optužbe nisu niti nove niti iznenađujuće. Kineska tvrtka je u proteklim godinama više puta optužena za uključujući stražnja vrata u svoje mrežne uređaje, optužbe koje je tvrtka uvijek negirala ili pokušao objasniti u videima na Twitteru.

Huawei kaže da je zaposlenik djelovao sam

Međutim, u priopćenju objavljenom u ponedjeljak, Huawei je rekao da tvrtka nije službeno uključena u projekt HKSP-a, usprkos tome što projekt koristi ime Huawei u naslovu i što ga je razvio jedan od njegovih vrhunskih zaštitara inženjeri.

Tvrtka je rekla da je projekt izradio i poslao u projekt jezgre Linuxa inženjer, bez svoje formalne podloge, a HKSP kod zapravo nikada nije korišten ni u jednom službenom Huaweiu proizvoda.

"To je samo demo kod koji koristi pojedinac za tehničku raspravu sa zajednicom otvorenog koda Openwall", rekao je Huawei.

Ažuriranje je također dodano HKSP projektu u ponedjeljak, pri čemu je Huaweijev zaposlenik dodao slično odricanje od odgovornosti.

Činjenica da je Huaweijev zaposlenik napisao kod koji sadrži sigurnosne propuste nije ništa novo. Prošlogodišnje izvješće britanske vlade pokazalo je to Huawei mrežna oprema bila je prožeta sigurnosnim nedostacima koji su često prolazili godinama bez dobivanja zakrpa.

Reakcija tehnološke zajednice u ovom konkretnom slučaju također pokazuje globalni anti-Huawei sentiment, koji je potaknut u posljednje vrijeme godina bezbrojnim sigurnosnim problemima u proizvodima tvrtke, optužbama za krađu intelektualnog vlasništva, optužbama za skrivanje tajne backdoors u njegovom firmware-u i strah Zapada da će kineska vlada špijunirati komunikacije diljem svijeta putem uvijek popularnog Huaweija oprema.