SONY音樂CD內含DRM rootkit事件
CQD於 11/18/2005 發表
[編輯文章]
簡單的說,把Sony的光碟片放到電腦上面去播放,會在使用者不知情的狀況下自動安裝一些程式,該程式讓作業系統暴露於被惡意程式攻擊的危險之下。追蹤這件追蹤了一陣子。不過一直懶的去寫相關的文章。最近巴哈姆特的WayneChu寫了一篇專文。重新排版後轉載於此:
這個事件在美國已經鬧了幾個禮拜,事情越演越烈,弄到天怒人怨。不過在台灣好像沒什麼新聞提到?
這個網站整理出整個事件的經過。
無責任翻譯事情經過,如有謬誤歡迎指正:
- 這個blog首先揭露,SONY發行的一片有版權保護技術的音樂CD,會在完全不知會使用者的情形下,自動將一些程式安裝到視窗的系統核心之中(這種程式通常被稱為rootkit)。其作用是會隱藏住所有名稱以 $sys$ 開頭的系統組件
這等於大開系統安全漏洞。SONY利用該功能隱藏住他的DRM(Digital Rights Management)軟體。而SONY完全沒有在CD上提到會安裝這些程式,也沒有提供反安裝的選擇
- 以$sys$開頭的檔案會被隱藏住,連掃毒系統都找不到
- 以$sys$開頭檔所執行的程序看不到
- 以$sys$開頭的驅動程式也在硬體管理員裡看不到
- 受到該blog的指控,SONY連忙提供反安裝的程式,但是要下載,使用者得要連過好幾關,線上填兩份表格,才能下載一份ActiveX的反安裝程式,但是該程式只是移掉隱藏檔案的功能而已,並沒有移除DRM軟體。
- Blizzard發行的魔獸紀元原本利用一個叫Warden的程式來偵測使用者的作弊外掛程式,但有人發現作弊程式可以利用該rootkit的隱藏檔案功能來騙過Warden。
- 美國加州、紐約、義大利開始有消費者組織控告SONY,可以預見未來告的人會越來越多。
- 發現確實有木馬程式利用該漏洞隱藏行蹤
- EFF(美國的某個消費者組織)列舉了20片內含rootkit的SONY音樂CD。要是上amazon.com上去看,可以看到這些CD的評分都受到rootkit事件影響,一落千丈。
- SONY-BMG的總裁被問到rootkit事件,回答:"Most people, I think, don't even know what a rootkit is, so why should they care about it?"
- 發現CD內含麥金塔版本的rootkit。不過因為麥克沒有視窗的autorun功能,不會自動安裝該程式。
- EFF研究CD上的使用者授權合約(EULA)後,發現完全不合理
- 要是你的音樂CD被偷,你必須刪除所有由該CD擷取出的音樂檔案
- 你不能把擷取出的音樂檔存在工作用的電腦上
- 你不能帶著內存有該音樂檔的筆電出國,必須把筆電上的音樂檔刪除
- 你必須安裝所有DRM的更新程式,否則失去音樂檔的所有權
- SONY-BMG有權在任何時候,不經知會,在DRM或播放軟體上安裝並利用後門
- SONY所負責的賠償不超過五美金
- 要是你申請破產,你必須把電腦裡的音樂檔刪除
- 即使你把原版CD轉讓他人,你也沒有權力轉移相關音樂檔
- 不准將CD中的音樂用在投影片中,不准用來編曲
- 有人發現SONY的DRM軟體中內含LAME MP3編碼程式,違反了LAME的LGPL授權。版權保護程式自己違反了他人的授權....
- SONY宣布不再發售內含DRM的音樂CD,稍後並宣布將所有現存的DRM CD下架
- 發現SONY用來補rootkit安全漏洞的ActiveX開了更大的安全漏洞, 任何網站都可以用該安全漏洞掌控住你的電腦
- EFF估計,受到該rootkit感染的電腦約五十萬台。不過可能低估也可能高估(CQD註:依照Darkkiller的說法,這個數字應該是大幅低估。)
- 微軟趁機落井下石,宣布經分析後,認定SONY的DRM是spyware,將在它的spyware移除軟體中加入移除SONY的rootkit的功能。(360即將發售,不趁這大好機會倒打SONY一釘耙簡直對不起自己)
現在北美的消費者已經開始醞釀杯葛SONY的運動了,SONY今天宣布PS3不會採用DRM,可能也有部分是為了避免火上加油。
後續情況如何,尚待觀察
--
歡迎轉載
最奇怪的是,事情搞這麼大,台灣的嗜血媒體卻幾乎沒有報導這件事情(google新聞搜尋),或許是記者先生小姐們都搞不清楚事情的嚴重性?
本文有 0 篇回應:
