Afgelopen zondag werd er een onveilige patch genaamd Huawei Kernel Self Protection (HKSP) toegevoegd aan het Linux kernel project. Huawei ontkent hier iets mee te maken te hebben. De patch introduceerde een beperkte kwetsbaarheid.
Grote tech-bedrijven die veel gebruik maken van Linux in hun datacenters en online diensten voegen regelmatig patches toe aan de Linux kernel. Onder meer Google, Microsoft en Amazon hebben in het verleden code bijgedragen aan het project.
De HKSP-patch trok al snel de aandacht binnen de Linux community vanwege de plotselinge bijdrage van Huawei. Hierdoor werd de patch meteen onderzocht, onder andere door developers van Grsecurity. Nog dezelfde dag maakte het team van Grsecurity bekend dat de HKSP-patch een kwetsbaarheid betatte.
Complottheorieën over Huawei
Na het ontdekken van de kwetsbaarheid in de bijdrage door Huawei, verspreidden de complottheorieën zich meteen. In deze theorieën werd Huawei beschuldigd van het stiekem toevoegen van kwetsbaarheden in de Linux kernel.
Dergelijke beschuldigingen zijn niets nieuws in het huidige politieke landschap. Het Chinese Huawei werd de afgelopen jaren al meerdere keren beschuldigd van onder andere het toevoegen van backdoors in zijn netwerkapparaten. Het bedrijf ontkende en probeerde deze beschuldigingen via video’s op Twitter.
Uitleg vanuit Huawei
Afgelopen maandag bracht Huawei een statement uit waarin het bedrijf beweert geen officiële betrokkenheid te hebben bij het HKSP-project. Ondanks dat, draagt het project de naam van Huawei en werd het ontwikkeld door een van de top engineers binnen het bedrijf.
Volgens Huawei werd het project ontwikkeld en toegevoegd aan het Linux kernel project door de engineer zelf, los van zijn werk voor Huawei. De HKSP-code zou nooit daadwerkelijk gebruikt zijn in de officiële Huawei-producten. Afgelopen maandag werd er een update toegevoegd aan het HKSP-project waarin de Huawei-medewerker dezelfde disclaimer toevoegde.