IT業界資訊媒體

【你不代表我】最高級工程師上載有後門Linux修補檔 被揭發華為即割蓆

有好嘢一定會拎出嚟分享,一直係支持 Linux 平台發展嘅原動力,不過,早前華為一個工程師喺上載 Linux 核心(Kernel)碼修補檔案去 Openwall 開發社群後,卻被發現入面藏有後門。華為管理層即刻發聲明指呢個工程師只係以個人名義、用工餘時間嚟開發呢個修補檔案,絕對同公司無關喎!

華為工程師今次上載嘅核心碼修補檔案,原本係話要修補 Linux 本身存在嘅安全漏洞,不過,網絡安全團隊 Grsecurity 喺研究過檔案之後,即日就發現呢個名叫 HKSP(Huawei Kernel Self Protection)嘅修補檔藏有漏洞,可以輕易被利用嚟進入安裝咗嘅系統,狠批呢個檔案完全缺乏安全意識,無做好 threat model 分析。

報告一出,即時引嚟極大迴響,華為管理層亦極速割蓆,發出官方聲明劃清界線,話呢個員工上載嘅檔案只係個人興趣,絕對同公司無關,而華為亦無喺任何產品內用到呢組程式碼,希望可以釋除公眾疑慮。不過,由於呢個工程師係用公司電郵登記嘅帳戶嚟上載呢個檔案,而且檔案名又冠上 Huawei 名義,話「你不代表我」?似乎難以令人信服。而 Grsecurity 喺華為回應後,再發補充指出呢個工程師屬於第 20 級首席安全部門,係華為最高級別嘅技術人員,並唔係一般開發人員,暗示無理由發現唔到呢個後門。至於真相係點呢?就要靠自己判斷喇。

資料來源:https://bit.ly/35ZJisa

相關文章:【侵侵再輸一仗】英政府有條件使用華為設備