8 december 2005
Sony BMG komt met een ander Digital Rights Management-softwarepakket (MediaMax van SunnComm Technologies opnieuw in de problemen. Opnieuw hebben beveiligingsexperts bewijs van een zelfde soort veiligheidsproblemen geconstateerd als met de ‘rootkit’-software van First4Internet eerder. En nog veel erger (zo constateert Ed Felten, hoogleraar aan de Universiteit van Princeton): de ‘uninstaller’ die ontwikkeld is om het probleem aan te pakken door Sunncomm, lost het beveiligingsprobleem niet op, maar houdt het in stand ! Felten schrijft in zijn blog: ‘When you visit the SunnComm uninstaller web page, you are prompted to accept a small software component — an ActiveX control called AxWebRemoveCtrl created by SunnComm. This control has a design flaw that allows any Web site to cause it to download and execute code from an arbitrary URL’.
De MediaMax-software installeert zich direct op een Windows-machine, wanneer deze in de CD-drive wordt gestopt Het maakt daarbij niet uit of de gebruiker de licentieovereenkomst accepteert of niet.
Het probleem is dat MediaMax zich installeert in een directory, die ondanks de beveiligingsinstellingen, te manipuleren is en blijft. ‘If you’ve used the SunnComm uninstaller, the vulnerable AxWebRemoveCtrl component is still on your computer, and if you later visit an evil Web site, the site can use the flawed control to silently download, install and run any software code it likes on your computer. The evil site could use this ability to cause severe damage, such as adding your PC to a botnet or erasing your hard disk’. Felten stelt dat het is te controleren of de kwetsbare software op de computer is genstalleerd door een tool te gebruiken die hij heeft ontwikkeld. Meer informatie daarover is hier vindbaar. Het is wel nodig voorzichtigheid te betrachten: ‘Unfortunately, if you use our tool to block the control, you won’t be able to use SunnComm’s current uninstaller to remove their software. It’s up to them to replace the flawed uninstaller with a safe one as soon as possible, and to contact those who have already used the vulnerable uninstaller with instructions for closing the hole’. Alex Halderman heeft gesteld dat de problemen veel groter zijn dan het persbericht van Sony BMG aangeeft. Dit alles heeft te maken met Amerikaanse wetgeving, die het strafbaar stelt om DRM-software ‘aan de kaak te stellen’. Zelfs het rapporteren over dit soort kopieerbeveiligingen geeft al juridische risico’s voor de rapporteurs. Sony BMG en SunnComm moeten zelf een tool ontwikkelen om de software te verwijderen. Deze volgende calamiteit met DRM-software is opnieuw een klap in het gezicht van de muziekindustrie. Het begint er naar uit te zien dat DRM-software in een heel kwaad daglicht komt te staan. Het is duidelijk dat soort producten beter moet worden ontwikkeld en beveiligd. Het wordt ook tijd dat de juridische bescherming voor producten die zich als malware gedragen wordt opgeheven. Zeker omdat Sony BMG nog geen enkele poging heeft gedaan om de (miljoenen) CD’s met deze beveiliging terug te halen.