Huawei sotto accusa per la patch che rende Linux meno sicuro

L'azienda nega tutto e scarica la responsabilità su un dipendente.



[ZEUS News - www.zeusnews.it - 16-05-2020]

linux falla patch huawei

La vicenda della patch per il kernel Linux inviata da un dipendente di Huawei è stata alternativamente classificata come una figuraccia per Huawei, un errore imperdonabile da parte del dipendente in questione, oppure un pericolo immane per il sistema operativo del pinguino. A guardare bene, però, sembra più una vittoria del modello open source.

Tutto ha inizio la scorsa domenica, quando viene proposta una modifica al kernel Linux denominata Huawei Kernel Self Protection: dalla descrizione si evince che essa dovrebbe migliorare la sicurezza del kernel stesso, e dal nome pare che sia Huawei stessa a sottoporla.

Poi le cose si complicano. L'analisi del codice prima di una sua eventuale accettazione, condotta da Grsecurity, mostra come in realtà l'effetto di quella patch sia l'esatto opposto di quanto dichiarato: il codice contiene un errore (un mancato controllo su una variabile) che può portare a un buffer overflow, situazione che può essere sfruttata anche con una certa facilità per violare, e non rafforzare, la sicurezza.

Per approfondire:
Huawei presenta il primo laptop con HarmonyOS
Apocalisse quantistica
Huawei, l'addio ad Android è completo
Huawei, la Commissione Europea medita il ban in tutta la UE

A questo punto Huawei, che all'inizio per l'opinione pubblica pareva aver iniziato una brillante carriera di partecipazione allo sviluppo del kernel Linux, in un attimo viene accusata di aver voluto introdurre di proposito una backdoor, e interviene ufficialmente per discolparsi.

Il codice denominato Huawei Kernel Self Protection (Hksp) - afferma - è stato sviluppato da un dipendente dell'azienda come hobby condotto nel proprio tempo libero: non c'è pertanto alcun legame ufficiale con Huawei stessa, che non ha sviluppato il codice né l'ha mai utilizzato nei propri prodotti.

Parlando di Hksp, Huawei ha inoltre spiegato: «Si tratta soltanto di codice dimostrativo usato da un singolo durante una discussione tecnica con la comunità open source Openwall».

Sullo stesso tema:
Gigabyte, centinaia di schede madri contengono una backdoor
Seagate, multa da 300 milioni per gli hard disk venduti a Huawei
Open Source, una proposta di legge mette a rischio lo sviluppo in Europa
Il codice generato dalle IA è insicuro e fallace

Questa spiegazione, che potrebbe anche funzionare, sarebbe però più credibile se al lunedì - quindi a cose fatte - Huawei non avesse modificato il file Readme allegato al progetto introducendo una variazione che non solo scagionava completamente l'azienda da ogni responsabilità verso Hksp, ma era retrodatata in modo tale da sembrare che fosse stata inserita già il venerdì precedente.

Forse si è trattato soltanto di un modo maldestro di sottolineare la propria estraneità ai fatti, ma il sotterfugio adoperato non ha fatto altro che alimentare i sospetti verso il gigante cinese, che già nel mondo tecnologico è visto con un certo sospetto a causa di pratiche passate non del tutto trasparenti e che da tempo sulla lista nera di Fbi, Cia, e Nsa.

Al di là delle responsabilità, però, la morale della storia è davvero una vittoria per il modello di sviluppo open source: il fatto che il codice venga controllato da molti occhi prima di venire accettato ufficialmente ha fatto sì - come peraltro è già capitato in altri tempi - che una modifica potenzialmente pericolosa venisse rifiutata prima ancora di essere implementata.

Proposte di lettura:
Linux, attenti al kernel 5.19.12: può danneggiare gli schermi dei laptop In...
Da Huawei un e-reader con schermo da 10 pollici
Sviluppatore open source sabota le proprie librerie. Migliaia di app nei guai
Anche Huawei beccata a barare nei benchmark degli smartphone

Né bisogna dimenticare che Linux, per quanto praticamente irrilevante in ambito desktop, è stabilmente il sistema operativo più adoperato in ambito server e gira sulla stragrande maggioranza degli smartphone, dato che il suo kernel è alla base di Android.

Pertanto il sospetto che qualcuno possa essere interessato a inserirvi una backdoor non può essere semplicemente derubricato a teoria complottista: dopotutto, se crediamo a Linus Torvalds, la Nsa è stata la prima a chiedere di inserirne una.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)


Gladiator
A parte il fatto che una cosa del genere non è necessariamente negativa o, quantomeno, indicativa, poiché tutte le aziende e tutti coloro che non si adeguano alle richieste delle agenzie USA - ad esempio di inserire backdoor o di fornire il codice di applicazioni di sicurezza - automaticamente finiscono in quella lista. In questo caso... Leggi tutto
2-6-2020 11:10

Maary79
@kenshir Sei messo un po' come me, anche se a me sui nuovi pc non chiedono un dualboot con W10+Linux e in quei casi o usano il pc come dico io con i software che dico io, senza fare nulla che non sia io a farlo, altrimenti io lavoro solo su ripristini e installazioni pulite di Windows. Con pc poco potenti, vecchi, che arrancano, anche... Leggi tutto
22-5-2020 11:38

kenshir
Io di solito faccio proprio cosi' per i clienti, gli faccio acquistare una macchina con su un windows qualsiasi, e gli installo l'ultima ubuntu lts in doppio boot. O qualcosa di piu' leggero in casi estremi. Proprio in questo momento sto installando una mint 19.3 mate 32 bit su un notebook asus con un processore del 2009. E' comodo per... Leggi tutto
22-5-2020 03:19

Maary79
Per me l'ideale sarebbe avere un dual boot anche con Windows, in un pc, perchè talvolta mi viene utile. Anche se, a tutti gli effetti uso Linux (Ubuntu,e altre a rotazione anche non Debian derivate). Se mi trovassi nella condizione di scegliere però non sceglierei Windows, per quanto possa essere performante e stabile nelle nuove... Leggi tutto
20-5-2020 17:33

SverX
dipende ancora molto dal notebook in questione - io ho uno degli ultimi Eee (EeeBook) che Asus aveva fatto (modello X205) e ci ho dovuto smanettare tanto sia per il wi-fi che per il touchpad che per l'audio. Il kernel Linux (all'epoca dei miei test) ne supportava ben poco.
20-5-2020 15:47
Leggi gli altri 6 commenti nel forum Linux
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Con quale delle seguenti affermazioni, tutte relative a siti che vendono coupon e buoni sconto online, concordi di più? (Se vuoi dare risposte multiple utilizza i commenti)
Sono un cliente abituale dei siti di coupon e in generale posso dichiararmi soddisfatto delle promozioni attivate tramite questo mezzo innovativo.
Apprezzo i coupon soprattutto per provare quelle strutture dove non sono mai stato, o servizi che non ho mai utilizzato prima.
Acquisto talvolta i coupon ma purtroppo molte volte non riesco a utilizzarli prima della loro scadenza, pertanto penso di diminuire questa attività o di continuare a farlo saltuariamente.
Acquisto i coupon soprattutto per usufruire dello sconto e raramente acquisto nuovamente un servizio o torno in una struttura a "prezzo pieno".
Solitamente acquisto un coupon soltanto se conosco già la struttura o il servizio offerto, non voglio fregature.
Mi è capitato spesso di prendere delle fregature o di non essere servito alla stregua degli altri clienti, pertanto penso che non acquisterò più coupon.
Non ho mai acquistato un coupon.

Mostra i risultati (1889 voti)
Dicembre 2025
n. 4036 del 12-12-2025
Lo script open source che fa sparire Copilot, Recall e gli altri componenti IA da Windows 11
n. 4035 del 09-12-2025
Google Antigravity cancella un intero drive: la IA si scusa, ma i dati sono persi
n. 4034 del 05-12-2025
Migliaia di aerei A320 a terra. Perché è una buona notizia
n. 4033 del 04-12-2025
Arduino passa a Qualcomm: la comunità hacker esplode di malcontento
n. 4032 del 03-12-2025
Piracy Shield, i provider italiani presentano il conto: 10 milioni di euro l'anno
n. 4031 del 01-12-2025
Il Digital Omnibus è una resa dell'Unione Europea?
Novembre 2025
n. 4030 del 27-11-2025
MediaWorld vende iPad a 15 euro per errore, adesso li vuole tutti indietro
n. 4029 del 26-11-2025
Riscaldano casa con un datacenter in giardino: giù i costi delle bollette
n. 4028 del 24-11-2025
I Baschi Grigi della Cybersicurezza
n. 4027 del 20-11-2025
Telemarketing aggressivo, operativo il filtro che impedisce lo spoofing dei numeri mobili
n. 4026 del 19-11-2025
Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo
n. 4025 del 18-11-2025
E se Internet sparisse?
n. 4024 del 17-11-2025
Windows diventerà un Agentic OS. Microsoft entusiasta, gli utenti temono guai
n. 4023 del 13-11-2025
Database con dati personali di 3,8 milioni di italiani pubblicato nel dark web
n. 4022 del 12-11-2025
I crescenti segni dell'esplosione
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 12 dicembre
2025
Adobe porta Photoshop, Express e Acrobat gratis in ChatGPT
2024
Firefox rinuncia all'opzione Do Not Track
2023
Ripristinare il comando Termina Attività in Windows 11
2022
Chrome, due modalità per risparmiare RAM ed energia
2021
Usi una copia pirata di Windows? Forse ti sta già rubando dati e criptovalu...
2020
CentOS, c'è un successore
2019
Quanto è facile comprare like e account falsi sui social?
2018
Mail di porno-estorsione, versione italiana: siamo ai saldi
2017
Chrome 63, più sicuro e affamato di memoria che mai
2016
Stegano, il malware nascosto nelle immagini
2015
12 brevetti folli per i viaggi aerei
2014
Eztv lentamente torna online
2013
Proprietario auto elettrica arrestato per ricarica da 5 cent
2012
Telefonini e bambini
2011
La canzone di MegaUpload (censurata dalle major)
2010
Il client Torrent per un P2P decentrato
2009
Alpine presenta il navigatore per i monitor touchscreen
2008
Il telefonino che si ricarica con la voce
2007
Ascolto e parlo doppio
2006
Browser, nuove versioni a confronto
2005
Natale con Palladium
2004
Palm e Linux: nozze in vista?
2003
La musica di Alice
2002
Il web per i disabili
Olimpo Informatico


 
web metrics