Mitarbeiter des Unternehmens schlägt Code mit schwerer Sicherheitslücke vor - Huawei distanziert sich

Vor wenigen Tagen hat ein Mitarbeiter von Huawei den Code für die sogenannte "Huawei Kernel Self Protection" (HKSP) auf einer Mailing Liste für den Linux-Kernel vorgestellt. Eine Komponente, die eigentlich neue Sicherheitsmechanismen zum Schutz des Kernel einführen soll, in der Realität aber offenbar das genaue Gegenteil bewirkt. Wie andere Kernel-Entwickler schnell herausfanden, beinhaltet er nämlich eine grobe Sicherheitslücke, die "trivial ausnutzbar" gewesen wäre, um Linux-Systeme - oder darauf basierende Systeme wie Android - übernehmen zu können.

Und doch erscheint es unwahrscheinlich, dass dahinter wirklich Absicht steht. Immerhin ist es das Ziel einer Hintertür unbemerkt zu bleiben. Sich dabei so ungeschickt anzustellen, dass andere Entwickler die Fehler innerhalb kürzester Zeit bemerken, wäre insofern reichlich kontraproduktiv. Bei Grsecurity, wo man den Code analysiert hat, kommt man insofern auch zu einem anderen Schluss: Nämlich, dass es sich dabei einfach um wirklich schlechten Code handelt. Denn auch sonst sei der vorgeschlagene Patch durchsetzt von trivialen Fehlern.