A Huawei negou na segunda-feira ter qualquer envolvimento oficial em um patch inseguro contendo erros enviado ao projeto do kernel Linux (esse patch introduziu uma vulnerabilidade explorável).
O patch foi submetido ao projeto oficial do kernel Linux através de sua lista de discussão. Nomeado HKSP (Huawei Kernel Self Protection), o patch supostamente introduziu uma série de opções de proteção de segurança no kernel do Linux.
Huawei nega envolvimento numa proposta de correção com erros para o kernel do Linux
As grandes empresas de tecnologia que usam muito o Linux em seus datacenters e serviços online, geralmente enviam patches para o kernel do Linux. Sabe-se que empresas como Google, Microsoft, Amazon e outras contribuíram com código.
O envio do HKSP despertou interesse na comunidade Linux, pois poderia sinalizar o desejo da Huawei de contribuir para o kernel oficial. Devido a isso, o patch foi examinado imediatamente, inclusive pelos desenvolvedores do Grsecurity, um projeto que fornece seu próprio conjunto de patches de proteção de segurança para o kernel do Linux.
Em um post, a equipe do Grsecurity disse que descobriu que o patch HKSP estava introduzindo uma vulnerabilidade explorável no código do kernel (caso o patch fosse aprovado).
Huawei tentou introduzir vulnerabilidades no Linux?
Rumores e teorias da conspiração começaram quase imediatamente online, acusando a Huawei de tentar introduzir sorrateiramente vulnerabilidades no kernel do Linux.
No entanto, em comunicado publicado na segunda-feira, a Huawei disse que a empresa não tem envolvimento oficial no projeto HKSP, apesar de o projeto usar o nome Huawei em seu título e o projeto ter sido desenvolvido por um de seus principais engenheiros de segurança.
Além disso, a empresa disse que:
- O projeto foi criado e enviado ao projeto do kernel Linux pelo engenheiro, sem seu apoio formal;
- O código HKSP nunca foi realmente usado em nenhum dos produtos oficiais da Huawei.
Assim, a Huawei afirmou:
É apenas o código de demonstração usado por um indivíduo para discussão técnica com a comunidade de código aberto Openwall.
Por fim, uma atualização também foi adicionada ao projeto HKSP na segunda-feira, com o funcionário da Huawei adicionando um aviso semelhante.
O fato de um funcionário da Huawei ter escrito um código que contém falhas de segurança não é novidade. Um relatório do governo do Reino Unido no ano passado descobriu que os equipamentos de rede da Huawei estavam repletos de falhas de segurança que costumavam passar anos sem receber patches.
Fonte: ZDNET