華為資安團隊提交給 Linux 基金會的HKSP核心資安加強程式碼,被發現暗藏後門
- 發布單位:TWCERT/CC
- 更新日期:2020-05-27
- 點閱次數:2162

資安研究團隊發現,由華為提供給 Linux 基金會,用以加強 Linux 核心資安防護能力的HKSP程式碼,藏有後門,可能導致未來新版 Linux 出現資安風險。
資安研究團隊 Grsecurity 發現,由華為提供給 Linux 基金會,用以加強 Linux 核心資安防護能力,一段名為「HKSP」(Huawei Kernel Self Protection)的程式碼,藏有後門,可能導致未來新版 Linux 都出現資安風險。
Grsecurity 在其研究報告中指出,他們在華為提報給 Linux 基金會的 HKSP 安全修補加強程式碼中發現一個資安漏洞,看不出是針對哪個類型資安威脅提出修補建議,也不包括相關的防禦程式碼。
Grsecurity 進一步指出,檢視華為提出的程式碼後,他們還發現一個可利用來進行駭侵攻擊的資安漏洞;如果 Linux 基金會接受該修補程式,將這段程式碼放入未來版本的 Linux 核心,將造成相當嚴重的資安風險。
Grsecurity 的研究報告,詳細分析了華為程式碼中的弱點,以及可能造成的資安風險。
在 Grsecurity 發表此報告後,華為立刻回應,表示該段程式碼僅為示範之用、提報至 Linux 基金會的舉動,也只是某個華為資安工程師的「個人行為」,不代表華為公司;華為公司也未將這段程式碼使用於任何華為產品。
但 Grsecurity 也隨即於其報告中新增華為回應,並且指出交付該程式碼的工程師屬於技術職中職級最高(20 職等)的資安工程師。