台灣電腦網路危機處理暨協調中心-TWCERT/CC

資安研究團隊發現，提供給 Linux 基金會，用以加強 Linux 核心資安防護能力的HKSP程式碼，竟然藏有後門，可能導致未來新版 Linux 出現資安風險。

資安研究團隊 Grsecurity 發現，由華為提供給 Linux 基金會，用以加強 Linux 核心資安防護能力，一段名為「HKSP」（Huawei Kernel Self Protection）的程式碼，竟然藏有後門，可能導致未來新版 Linux 都出現資安風險。

Grsecurity 在其研究報告中指出，他們在華為提報給 Linux 基金會的 HKSP 安全修補加強程式碼中發現一個微妙的資安漏洞，不但看不出是針對哪個類型資安威脅提出修補建議，也不包括相關的防禦程式碼。

Grsecurity 進一步指出，檢視華為提出的程式碼後，他們還發現一個可利用來進行駭侵攻擊的資安漏洞，這等同於在程式碼內刻意放入的後門；如果 Linux 基金會接受該修補程式，將這段程式碼放入未來版本的 Linux 核心，將造成相當嚴重的資安風險。

Grsecurity 的研究報告，詳細分析了華為程式碼中的弱點，以及可能造成的資安風險。

在 Grsecurity 發表此報告後，華為立刻回應，表示該段程式碼僅為示範之用、提報至 Linux 基金會的舉動，也只是某個華為資安工程師的「個人行為」，不代表華為公司；華為公司也未將這段程式碼使用於任何華為產品。

但 Grsecurity 也隨即於其報告中新增華為回應，並且指出交付該程式碼的工程師，在華為公司中屬於技術職中職級最高（20 職等）的資安工程師；而且程式碼中帶有華為公司的品牌名稱，很難接受華為這種卸責的說法。
 

• 參考連結
  • https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability
  • https://www.zdnet.com/article/huawei-denies-involvement-in-buggy-linux-kernel-patch-proposal/
  • https://androidrookies.com/huawei-dev-team-sends-a-buggy-hksp-patch-with-backdoor-to-linux-foundation/
• 更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news