Als ob die aktuelle Lage für Huawei nicht schon angespannt genug wäre, sieht sich der chinesische Hardwarehersteller nun mit neuen Vorwürfen konfrontiert. Das Unternehmen habe versucht, eine Art Hintertür in den Linux-Kernel einzubringen, wird dabei mancherorts unterstellt. Eine Behauptung, die Huawei allerdings entschieden von sich weist – und dabei auch gleich ganz die Verantwortung für den Vorfall ablehnt.

HKSP

Der Reihe nach: Vor wenigen Tagen hat ein Mitarbeiter von Huawei den Code für die sogenannte "Huawei Kernel Self Protection" (HKSP) auf einer Mailing Liste für den Linux-Kernel vorgestellt. Eine Komponente, die eigentlich neue Sicherheitsmechanismen zum Schutz des Kernel einführen soll, in der Realität aber offenbar das genaue Gegenteil bewirkt. Wie andere Kernel-Entwickler schnell herausfanden, beinhaltet er nämlich eine grobe Sicherheitslücke, die "trivial ausnutzbar" gewesen wäre, um Linux-Systeme – oder darauf basierende Systeme wie Android – übernehmen zu können.

Und doch erscheint es unwahrscheinlich, dass dahinter wirklich Absicht steht. Immerhin ist es das Ziel einer Hintertür unbemerkt zu bleiben. Sich dabei so ungeschickt anzustellen, dass andere Entwickler die Fehler innerhalb kürzester Zeit bemerken, wäre insofern reichlich kontraproduktiv. Bei Grsecurity, wo man den Code analysiert hat, kommt man insofern auch zu einem anderen Schluss: Nämlich, dass es sich dabei einfach um wirklich schlechten Code handelt. Denn auch sonst sei der vorgeschlagene Patch durchsetzt von trivialen Fehlern.

Tradition an schlechtem Code

Das wäre auch deswegen nicht überraschend, da Huawei generell dafür bekannt ist, sehr schlechten Code zu produzieren. So kam etwa ein Bericht der britischen Regierung im Vorjahr zu dem Urteil, dass die Netzwerkhardware von Huawei zwar keine absichtlichen Hintertüren enthält, aber von Sicherheitslücken geradezu durchsetzt sei, die noch dazu oft jahrelang offen stehen würden.

Vertuschungsaktionen

Gleichzeitig macht es Huawei seinen Kritikern nicht gerade einfach, hinter all dem keine Absicht zu vermuten. Immerhin reagiert man auf den aktuellen Bericht äußerst zweifelhaft. So stritt man zunächst jegliche Beteiligung an dem Vorgang ab. Ein einzelner Entwickler habe hier eigenmächtig gehandelt. Angesichts der bekannt strikten Kontrolle und der straffen Hierarchie, die bei Huawei herrscht, wäre dies zumindest ziemlich überraschend. Zumal es sich dabei um einen Entwickler mit "Level 20" – der höchsten Einstufung bei Huawei – handelt, der sicherlich sehr genau weiß, wie diese Prozesse funktionieren. Dass dann nach den ersten Berichten über die Sicherheitsprobleme das README-File im Code verändert wurde, um klarzustellen, dass Huawei nichts damit zu tun habe, wäre generell noch kein Problem. Dass der Commit aber rückdatiert wurde, um es so darzustellen, als wäre hier nie etwas anderes gestanden, sorgt dann wieder für neue Verärgerung.

Laut Huawei kommt HKSP derzeit jedenfalls in keinem der eigenen Produkte zum Einsatz. Der Code sei lediglich von dem betreffenden – übrigens auf Sicherheit spezialisierten – Entwickler zu Demozwecken geschrieben worden, um eine Diskussion mit anderen Open-Source-Entwicklern aufzunehmen. (apo, 14.05.2020)