16.11.2005

SONY BMG

Kopierschutz-Entferner lässt Hintertür offen

Kein Tag vergeht ohne neue Entdeckungen zu Sonys inzwischen zurückgezogenem Kopierschutz XCP.

Zwar hat sich der Konzern mit dem DRM-System [Digital Rights Management] wohl selbst am meisten geschadet, doch auch auf den Rechnern der Kunden wurde mehr Schaden verursacht als bisher bekannt.

So soll nicht nur der Kopierschutz, sondern pikanterweise auch der später veröffentlichte Uninstaller unerwünschte Spuren auf den Computern der Kunden hinterlassen. Das fand Edward Felten, Informatik-Professor an der Universität Princeton, heraus.

XCP-CDs zurückgeben
Inzwischen hat Sony BMG die Produktion von CDs mit dem ins Kreuzfeuer geratenen Kopierschutz vorläufig ausgesetzt und bietet seinen Kunden den Austausch bereits gekaufter XCP-geschützter US-Alben an.

Sony BMG tauscht Kopierschutz-CDs aus

"Jeder kann die Kontrolle erlangen"

"Vom Sicherheitsstandpunkt her ist das Tool überaschend schlecht konstruiert", so Felten. "Es bringt die Nutzer gleich auf mehrere Arten in Gefahr."

Der Informatik-Experte entdeckte, dass der ActiveX-basierte Uninstaller eine Hintertür auf dem Rechner öffnet, die den Download und die Installation von Code erlaubt. Doch das Programm stellt dabei nicht sicher, dass dieser Code nur von Sony oder dem Kopierschutz-Entwickler First 4 Internet kommen darf.

"Damit erlaubt der Uninstaller jeder besuchten Website, Code auf dem Rechner einzuschleusen. Jeder kann so die Kontrolle über den Computer erlangen", so Felten im Blog Freedom-to-tinker.com.

Sony BMG und First 4 Internet haben zu der Lücke bisher nicht Stellung genommen

Bericht von Edward Felten

Kopierschutz verletzt Copyright

Bei den Untersuchungen der DRM-Software entdeckten skandinavische Experten des Weiteren, dass offenbar Codeteile des Open-Source-MP3-Encoders Lame, die der Lesser GNU Public License [LGPL] unterliegen, verwendet wurden.

Zwar darf Open-Source-Software grundsätzlich verwendet werden, doch auch hier gibt es Restriktionen. Laut der LGPL hätte Sony darauf hinweisen müssen, dass Teile der Open-Source-Software verwendet wurden. Auch hätte Sony den Quellcode und die Objectfiles offen zur Verfügung stellen müssen.

Bestätigen sich diese Vermutungen, hat Sony BMG mit seiner XCP-Software im Rahmen des Schutzes des eigenen Urheberrechts jenes des Lame-Projekts verletzt.

Sonys Violation of the LGPL