Der Uninstaller, den SonyBMG zum Entfernen/Deaktivieren des Kopierschutzes XCP-Aurora nach massivem öffentlichen Druck seit einigen Tagen zur Verfügung stellt, gerät nun selbst in die Negativschlagzeilen.
Alex Halderman und Ed Felten, Informatik-Professor an der Princeton-University, berichten in Ihrem Post „Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs„, dass das ActiveX-Control, welches den Uninstaller startet, unsicher sei. Das ActiveX-Control lasse sich u.U. von fremden Seiten aus starten und sich so beliebiger Code auf dem mit XCP infizierten System ausführen.
A malicious web site author can write an evil program, package up that program appropriately, put the packaged code at some URL, and then write a web page that causes CodeSupport to download and run code from that URL. If you visit that web page with Internet Explorer, and you have previously requested Sony’s uninstaller, then the evil program will be downloaded, installed, and run on your computer, immediately and automatically. Your goose will be cooked.
Die Professoren empfehlen das Entfernen des Sony Rootkits mit den Werkzeugen der Antiviren-Hersteller, zum Beispiel mit dem Tool rkprf von Sophos.
Allerdings weist Mark Russinovich im Sysinternals Blog darauf hin, dass die Tools der Antivirenhersteller ebenso wie der Sony-Uninstaller XCP lediglich deaktivieren, nicht aber entfernen:
Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality.
Am Rande des ganzen XCP-Gau’s für SonyBMG ringt einem die abenteuerliche Software-Lizenz (EULA) des Kopierschutzes nur noch ein müdes Lachen ab, obwohl auch diese für sich allein schon ganz spannend wäre. Die Bürgerrechtler von EFF haben die Lizenz unter die Lupe genommen und stiessen dort auf seltsame Dinge:
Im Büro beispielsweise darf die CD nicht abgespielt werden, sondern nur auf einem PC, der dem CD-Besitzer gehört. Viel gravierender ist aber eine Reise mit dem Laptop ins Ausland, denn in diesem Falle müssen die daraufbefindlichen Songs gelöscht werden, da die Lizenz nur dem Gebrauch im Inland gestattet.
SonyBMG bindet die Kunden auch sonst weiter an sich, denn wer nicht sämtliche von SonyBMG veröffentlichte Software-Updates installiert, verliert das Recht zur Nutzung der CD bzw. der Musik. Und das Beste zum Schluss: Wer Konkurs (Insolvenz) anmelden muss, verliert ebenfalls seine Nutzungsberechtigung und muss somit die Musik von der Festplatte löschen.
Ich frag‘ mich manchmal nur noch, wer solche EULA’s schreibt…
(via heise.de, Bootsektor und eff.org)
