USA: pozwy w sprawie rootkita Sony

W Los Angeles (California) złożono pozew zbiorowy (class action lawsuit) przeciwko Sony. Chodzi o narażenie na szkody użytkowników wypuszczonej na tamtejszy rynek serii płyt CD, które przy okazji instalowały w systemach użytkowników niebezpieczny dla nich mechanizm DRM (w mniemaniu firmy mający chronić jej prawa własności intelektualnej, w rzeczywistości stanowiący dziurę bezpieczeństwa)... Zarzuca się również firmie stosowanie nieuczciwych praktyk rynkowych.

O zbiorowym pozwie dowiadujemy się z serwisu Gamespot. Tam również informacja o tym, że "w drodze" jest też kolejny pozew w Nowym Jorku. Zresztą znacznie więcej jest w poniżej przytoczonych źródłach...

Chodzi o to, że specjalny mechanizm przygotowany przez First 4 Internet, mający zapobiegać nieuprawnionemu kopiowaniu płyty (w założeniu można by zrobić tylko jedną kopie bezpieczeństwa, druga byłaby niemożliwa), instaluje się w systemie i ukrywa swoją obecność w jego głębokich zakamarkach. W ten sposób nie jest dostępny również dla zaawansowanej diagnostyki, nie mówiąc o zwykłym użytkowniku. Producent i dystrybutor nie poinformowali kupujących płyty o tym, że zostanie dokonana ingerencja w posiadany system operacyjny. Po zainstalowaniu się mechanizmu system zaczyna działać wolniej (ze względu na obciążenie). Nie da się go usunąć bez ingerencji w sam system, co niesie za sobą konsekwencje w postaci uszkodzenia systemu.

Wiadomo już, że wirusy i inne "szemrane wynalazki" zapewne bardzo polubią technologię wypuszczoną na rynek przez Sony. Wiadomo na przykład, że nowa wersja konia trojańskiego Breplibot już wykorzystuje mechanizm DRM tej firmy do ukrywania się w systemie. O szczegółach w Security Fix.

Wracając do zbiorowego pozwu, o którym więcej można dowiedzieć się ze wspomnianego wyżej bloga Security Fix: złożył go w sądzie w Los Angeles (Los Angeles Superior Court) pewien adwokat, Alan Himmelfarb, a zrobił to w imieniu wszystkich konsumentów stanu California, którzy nabyli lub uruchomili jeden z krążków wyposażonych w mechanizm Sony BMG ("who purchased or acquired one of the rootkit-installed CDs"). Kopia pozwu w formacie PDF dostępna jest online.

Zdaniem skarżącego firma Sony naruszyła przepisy przynajmniej trzech ustaw stanowych, w tym: Consumer Legal Remedies Act, Consumer Protection against Computer Spyware Act. Narusza też kalifornijskie prawo uczciwej konkurencji.

Składający pozew domaga się, by sąd wydał zakaz sprzedaży na terenie stanu płyt z ww. zabezpieczeniem, a także domagają się odszkodowania związanego z powstałymi w wyniku działań ukrytego mechanizmu szkodami. Na razie wiadomo, że firma Sony BMG postanowiła wstrzymać produkcję płyt z mechanizmem XCP (extended copy protection).

Wcześniej już informowałem, że we Włoszech Sony ma pewne kłopoty natury prawnej dzięki działaniom ALCEI-EFI. Zapowiada się, że sprawą zajmie się również Komisja Europejska.

Więcej interesujących komentarzy, listę płyt zawierających mechanizm XCP, i tego typu spraw można znaleźć w serwisie Slashdot, i na stronach Electronic Frontier Fundation

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

A czy w Polsce też sprzedaj

A czy w Polsce też sprzedają te płyty? Ciekawe. Na stronie EFF jest lista płyt, ale jest też taka na stronie: http://slashdot.org/~xtracto/journal/121088

Tu jest strona polskiego Sony:
http://www.sonymusic.pl/
ale tam nie da się nic znaleźć. Próbuje ładować jakiś "skrypt" i pokazuję się komunikat, że jest jakiś błąd. Czy to może być już ten program instalujący dziurę? Czy ktoś może zobaczyć, czy tam jest może jakiś komunikat na ten temat? Troche to przerażające, bo jak się szuka w merlin.com.pl takiego hasła "sony", to się okazuje, że jest ponad dwa tysiące wyników. Czy one wszystkie są zainfekowane tym czymś?

Sprawdzam

W Merlinie nie znalazłem w ofercie Nothing Is Sound Switchfoot, jest natomiast Unwriten Natasha Bedingfield, nie ma Shelly Fairchild, nie ma też 12 Songs Neil Diamond, jest za to Touch Amerie z 24 sierpnia 2005, jest Bloom (Remix) Sarah McLachlan (też z 2005 roku), jest Kasabian, Kasabian (ale z 2004 roku), nie ma nic Pete Seegera, jest Jeru Gerry Mulligan, ale z 1993 roku (pewnie się nie sprzedaje, hehe)... Jest za to Bob Brookmeyer & Friends z 2005 roku, również The Invisible Invasion The Coral, Manhattan Symphonie Dexter Gordon (2005), On Ne Change Pas Celine Dion (z tego samego roku), podobnie Life Ricky Martin, Broken Valley Life Of Agony (2005), Silver′s Blue Horace Silver, Z My Morning Jacket (2005), i jest The Dead 60s (2005)... Miłego słuchania.

To co wymieniłem wyżej nie oznacz, że te płyty zawierają rootkita. Porównałem jedynie tytuły z listy xtracto ze Slashdota, sprawdzając czy są wydane w 2005 roku i czy wydawcą jest Sony BMG. Serwisy, które tu przytaczam stwierdzają, że jeśli odsłuchasz na komputerze któryś z krążków wyposażonych w XCP, to twój komputer będzie zainfekowany i potencjalnie podatny na zewnętrzne ataki (wirusy będą się ukrywały w systemie łatwiej i takie inne).

Okazuje się, że jest bardziej aktualna lista zainfekowanych trojanem krążków, ale już nie mam siły sprawdzać. Może ktoś chciałby to zrobić sam? Listę również na Slashdocie udostępnił Xtracto.

Swoją drogą ciekawe, czy w Empiku sprzedają zainfekowane płyty? To również warto sprawdzić...

A co do strony polskiego Sony, to tam po prostu zrobili to w jakiejś nieprzystającej w żaden sposób do standardów technologii i jeśli ktoś ma na przykład przeglądarkę dajmy na to explorera bez dodatków to pewnie mu wyskoczy błąd. U mnie w Mozilli się co cos otwiera, ale nie będę komentował tego co widziałem (bo bym musiał pisać o użyteczności, standardach, interoperacyjności tej strony, a nie ma o czym :) Jeśli chodzi o biznes, to niech sobie robi strony jakie chce. Mnie zależy, żeby strony administracji publicznej były zrobione przynajmniej dobrze i przynajmniej zgodnie ze standardem.
--
[VaGla] Vigilent Android Generated for Logical Assasination

Tylko na złodzieju czapka nie gore

Jak tam czytam o tym kicie wciskanym przez Sony to dochodzę do wniosku, że najbezpieczniesze będą urządzenia tych użytkowników, którzy za nic mają opowieści o legalności itd. i kupują płyty tylko na targowiskach. Zakładając oczywiście, że nielegalni kopiści uprzednio zdejmą owe "zabezpieczenia" ze swoich nośników...

--
Olgierd
JID: olgierd@jabber.org ||| gg: 3657597

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>