Mener «CD-rootkit» kontakter Sony BMG

Nye avsløringer er blitt gjort om den omstridte DRM-løsningen på enkelte CD-plater fra Sony BMG.

digi.no har til nå skrevet to artikler om Mark Russinovich undersøkelser vedrørende XCP DRM-løsningen (Digital Rights Management) blant annet Sony DRM har tatt i bruk i forbindelse med en del CD-plater utgitt i USA. Problemet har primært vært knyttet til at løsningen forsøkte å skjule blant annet filer for brukeren, men også at løsningen har vært tilnærmet umulig å avinstallere uten å måtte kontakte Sony BMG kundeserviceavdeling.

    Les også:

I slutten av forrige uke dukket det i en del fora opp meldinger som hevdet at programvaren forsøker å få kontakt med en eller flere servere hos Sony. Disse påstandene ble avvist som feilaktige av Stein Vegusdal, new media manager i Sony BMG Norway, i debattforumet til digi.no.

Men fredag publiserte Mark Russinovich et nytt innlegg i sin blogg hvor han tar for seg disse påstandene. Russinovich' undersøkelser med analyseverktøyet Ethereal viser at programvaren Sony BMG benytter, kontakter den følgende adressen:

http://connected.sonymusic.com/toc/Connect?type=redirect&Uid=668.

Dette er en fungerende adresse hos Sony BMG i USA.

Russinovich tror ikke denne forbindelsen benyttes til noe «skummelt», men at den sjekker om det er kommet oppdateringer i slikt som sangtekster og albummotiver. Men det er ikke mulig for brukeren å konfigurere dette, og det er heller ikke nevnt i sluttbrukeravtalen selskapet har utgitt sammen med CD-en. Dessuten vil det være mulig for Sony BMG å registrere hver gang platen brukes på en datamaskin, samt IP-adressen til denne datamaskinen.

Da digi.no i ettermiddag ba Stein Vegusdal om en kommentar til denne informasjonen, hadde han nettopp blitt kjent med den. Han kunne ikke si noe annet enn at han fra det amerikanske hovedkontoret hadde fått beskjed om at løsningen ikke kobler seg opp mot noe.

- Det er det jeg må forholde meg til, sa Vegusdal til digi.no.

Stemmer avsløringene, er dette svært klønete utført av det amerikanske selskapet. Det er forståelig at Vegusdal må forholde seg til informasjonen han mottar fra sin arbeidsgiver. Det er derimot helt uforståelig at en gigant som Sony BMG ikke har kompetanse nok til å se at disse avsløringene måtte komme og at de ville vekke debatt, hard kritikk og en generell motvilje mot selskapet.

Sony BMG har ikke utgitt CD-er i Europa som benytter denne løsningen, men CD-markedet er ikke lenger så begrenset av landegrensene. Nordmenn både reiser til USA og handler i blant amerikanske nettbutikker, så det er ikke usannsynlig at også norske CD-kunder kan ha kjøpt plater med den omstridte DRM-løsningen.

Brukere som har søkt Sony BMGs kundeservice om å få avinstallere DRM-løsningen fra sin egen maskin, mottar først en e-post med en lenke til en webside hvor et lite skjema må fylles ut, blant annet med begrunnelse for avinstalleringen. Deretter vil brukeren få tilsendt en lenke til en ActiveX-basert webside som skal kunne håndtere avinstallasjonen.

I e-posten heter det også at selskapet som står bak XCP DRM, First 4 Internet, er i ferd med å utvikle en ActiceX-fri løsning, som trolig blir klar innen slutten av november.

Men Mikko Hypponen i sikkerhetsselskapet F-Secure forteller til Washington Post at han ved å putte Sony BMG-CD-en inn i en maskin som kjører Windows Vista, at oppdaget at CD-en "breaks the operating system spectacularly."

Dette er interessant, fordi Windows Vista, som ennå ikke er kommet på markedet, trolig vil bli brukt av PC-brukere i mange over framover. Hvis en bruker om ti år ved en tilfeldighet putter en XCP DRM-beskyttet CD i sin sin PC i 2015 og installerer programvaren, kan selskapet nå garantere at websidene selskapet har opprettet for at kundene skal få tak i avinstalleringsløsningen, fortsatt være tilgjengelige da?

Mandag kveld mottok digi.no en melding fra Stein Vegusdal om at han hadde fått bekreftet at den eneste kommunikasjonen som skjer er at det blir sendt en forespørsel for å oppdatere en bannerannonse i mediaplayeren. Han viser også til en kommentar fra XCP Support (F4I) i bloggen til Mark Russinovich. Denne befinner seg her.

Til toppen