華為開發團隊郵寄了帶有Linux基金會後門的HKSP（華為內核自我保護）Linux補丁，華為否認參與其中

在小工具中引入後門的完美秘訣。上週，華為開發團隊向Linux基金會提交了一個帶有“小漏洞”的補丁。發現漏洞後，華為一如既往地拒絕參與該補丁程序，並表示可能對其員工負責。

華為因安全相關問題而臭名昭著。由於安全和數據洩漏問題，美國政府已禁止向美國電信提供商提供5G技術。現在，華為正試圖在HKSP（華為內核自我保護）中秘密實施後門程序，該程序本  可以包含在Linux的下一個更新中。

什麼是HKSP？

顧名思義，HKSP或華為內核自我保護是一種內核保護工具。它已通過星期日的郵件列表提交給Linux Foundation，以包含在正式的Linux Kernel項目中。內核保護工具應該為Linux內核引入一系列安全性增強選項。但是，經過檢查，發現該補丁程序為Linux內核項目引入了後門。有趣的是，華為稱後門為“可利用的漏洞”。

大多數技術公司都會為Linux內核的Linux基金會提供補丁，以使其無法被利用。眾所周知，谷歌，微軟，亞馬遜等公司都貢獻了代碼。

HKSP中的漏洞

雖然其他科技公司也做出了貢獻，但這是華為首次為Linux內核項目做出貢獻。自然，它引起了Linux開發團隊，Linux迷和安全研究人員的興趣。包括Grsecurity的開發人員在內的不同人員立即對其進行了審查，該項目為Linux內核提供了自己的一組安全性增強補丁。

Grsecurity安全性在HKSP修補程序中發現了一個可利用的漏洞。在周日發布的博客文章中，Grsecurity團隊詳細介紹了內核代碼中的“可輕易利用的”漏洞。從報告中我們可以推斷出，華為或其所謂的員工正在偷偷地將後門引入Linux內核，如果該補丁獲得批准，該內核可能在下一個Linux更新中實現。

華為否認參與

當Grsecurity博客文章上線時，華為立即採取行動。它堅決否認它參與其中的指控。華為在周一發表的一份聲明中表示，它沒有正式參與HKSP項目。它進一步辯稱，該項目是其一名員工的工作。

華為表示，該項目是由華為工程師創建並提交給Linux內核項目的，沒有正式的支持。它還補充說，它尚未在其產品中正式包含HKSP代碼。華為說：“這只是個人用於與開源社區Openwall進行技術討論的演示代碼。”

HKSP GitHub存儲庫發布者回溯

HKSP存儲庫的GitHub所有者發布了與項目自述文件類似的免責聲明。現在，自述文件顯示為：

Grsecurity支持其報告

Grsecurity堅持其報告，即華為在Linux內核補丁中秘密實施了該漏洞，並希望該漏洞在下一個Linux更新中得到批准和實施。他們表示，華為PSIRT與他們聯繫，並轉發了一封郵件，指出“補丁集不是由華為官方提供，而是由個人提供。而且也沒有在任何華為設備中使用。”

Grsecurity表示，它發現HKSP存儲庫所有者是華為的20級首席安全員工。20級是華為內部的最高技術級別，如果沒有上級組織的知識，這麼高的官員就不可能發布代碼。此外，Grsecurity發現，檢查所有https://api.github.com/repos/cloudsec/hksp/events的內容後，GitHub提交均已回溯，以證明該提交實際上是在所有地獄鬆開後於週一寫入回購協議的。

根據我們的實際情況

HSKP包含一個不能拒絕的後門。據說該漏洞是在Linux基金會為Linux內核項目批准了HKSP之後才起作用的。華為以類似的過犯而聞名。如前所述，美國已經對與華為的交易施加了一些限制。英國當局去年還發現，華為網絡設備存在許多可以利用的安全漏洞。

華為的聲明並不是在指責中國政府從事間諜活動，華為產品的安全問題，知識產權盜竊訴訟，在其固件中隱藏秘密後門，只是在指責其產品的功能。