Sony patzt auch beim Rootkit-Uninstaller
Der Uninstaller, den SonyBMG zum Entfernen/Deaktivieren des Kopierschutzes XCP-Aurora nach massivem öffentlichen Druck seit einigen Tagen zur Verfügung stellt, gerät nun selbst in die Negativschlagzeilen.
Alex Halderman und Ed Felten, Informatik-Professor an der Princeton-University, berichten in Ihrem Post „Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs„, dass das ActiveX-Control, welches den Uninstaller startet, unsicher sei. Das ActiveX-Control lasse sich u.U. von fremden Seiten aus starten und sich so beliebiger Code auf dem mit XCP infizierten System ausführen.
A malicious web site author can write an evil program, package up that program appropriately, put the packaged code at some URL, and then write a web page that causes CodeSupport to download and run code from that URL. If you visit that web page with Internet Explorer, and you have previously requested Sony’s uninstaller, then the evil program will be downloaded, installed, and run on your computer, immediately and automatically. Your goose will be cooked.
Die Professoren empfehlen das Entfernen des Sony Rootkits mit den Werkzeugen der Antiviren-Hersteller, zum Beispiel mit dem Tool rkprf von Sophos.
Allerdings weist Mark Russinovich im Sysinternals Blog darauf hin, dass die Tools der Antivirenhersteller ebenso wie der Sony-Uninstaller XCP lediglich deaktivieren, nicht aber entfernen:
Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality.
Am Rande des ganzen XCP-Gau’s für SonyBMG ringt einem die abenteuerliche Software-Lizenz (EULA) des Kopierschutzes nur noch ein müdes Lachen ab, obwohl auch diese für sich allein schon ganz spannend wäre. Die Bürgerrechtler von EFF haben die Lizenz unter die Lupe genommen und stiessen dort auf seltsame Dinge:
Im Büro beispielsweise darf die CD nicht abgespielt werden, sondern nur auf einem PC, der dem CD-Besitzer gehört. Viel gravierender ist aber eine Reise mit dem Laptop ins Ausland, denn in diesem Falle müssen die daraufbefindlichen Songs gelöscht werden, da die Lizenz nur dem Gebrauch im Inland gestattet.
SonyBMG bindet die Kunden auch sonst weiter an sich, denn wer nicht sämtliche von SonyBMG veröffentlichte Software-Updates installiert, verliert das Recht zur Nutzung der CD bzw. der Musik. Und das Beste zum Schluss: Wer Konkurs (Insolvenz) anmelden muss, verliert ebenfalls seine Nutzungsberechtigung und muss somit die Musik von der Festplatte löschen.
Ich frag‘ mich manchmal nur noch, wer solche EULA’s schreibt…
(via heise.de, Bootsektor und eff.org)
Sony’s Rootkit kommt nicht aus den Schlagzeilen
Die Meldung über den von SonyBMG eingesetzten Kopierschutz XCP-Aurora, der sich wie ein Rootkit verhält, verbreitete sich wie ein Lauffeuer in allen möglichen Medien. Sony reagierte halbherzig und stellte einen Uninstaller zur Verfügung, der eigentlich, wie sich später herausstellte, gar keiner ist. Denn der „Uninstaller“, macht lediglich die Unsichtbarkeit der Prozesse rückgängig. Der „Uninstaller“ installiert aber neue Versionen der DRM-Komponenten, so dass von einem „Uninstaller“ keine Rede sein kann. Der Hersteller von XCP-Aurora drückt das gegenüber dem „Entdecker“ des Sony-Kopierschutzes, Mark Russinovich, so aus:
In addition to removing the cloaking, Service Pack 2 includes all fixes from the earlier Service Pack 1 update. In order to ensure a secure installation, Service Pack 2 includes the newest version of all DRM components, hence the large file size for the patch. We have updated the language on our web site to be clearer on this point.
Auch die weiteren Erklärungsversuche des XCP-Aurora-Herstellers zu Marks neusten Vorwürfen Mark’s neusten Enthüllungen scheinen den (fast) weltweiten Aufschrei vorerst nicht stoppen können.
Sony BMG’s Kopierschutz: Quasi ein Rootkit
Vor nicht allzu langer Zeit erklärte Sony BMG ihren Kunden noch, wie sie den verwendeten MediaMaxx-Kopierschutz umgehen können, doch nun scheint Sony BMG lieber im Verborgenen „zu basteln“. Denn nun nutzt Sony BMG einen Kopierschutz namens XCP-Aurora ein, der sich wie ein Rootkit versteckt, Treiber austauscht und unter Umständen Sicherheitslücken und Abstürze provozieren kann.
Marc Russinovich deckt in seinem Post „Sony, Rootkits and Digital Rights Management Gone Too Far“ auf, was sich Sony BMG diesesmal hat einfallen lassen um sich vor den lästigen Raubkopierern zu schützen.
Auschnitt aus der Mitteilung vom Newsticker von heise.de:
Der Treiber fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab, um seiner Aufgabe – dem Verhindern von unerwünschten Kopien – nachzukommen, und das gleich jeweils achtmal am Stück. So verbraucht der nicht ganz koschere Kopierschutz Rechenzeit, auch wenn die zu schützende CD gar nicht im Laufwerk liegt. Die Software verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen.
Sony-cht, liebe Sony, jetzt reichts! Denkt ihr wirklich, dass ihr den ehrlichen Käufern, und damit schlussendlich auch euch selber, einen Gefallen tut?
(via vowe)