Un altro DRM di Sony BMG si installa da sé

Mentre il procuratore generale di New York accerta che i CD con il rootkit auto-installante sono ancora sul mercato, un nuovo scandalo travolge un'altra tecnologia DRM diffusa dall'azienda. Si attiva ad insaputa dell'utente


Roma – Nuovi grossi guai in arrivo per Sony BMG a ridosso di uno scandalo che sta affossando le vendite di molti suoi CD: un docente di Princeton ha confermato l’esistenza di un secondo sistema di DRM diffuso dalla major del disco che si installa ad insaputa dell’utente quando ascolta certi CD sul proprio computer.

Quanto rilevato da Alex Halderman, già autore con il collega Ed Felten di importanti ricerche sullo scandalo-rootkit , sta naturalmente sollevando ulteriore scalpore attorno alle politiche di Sony BMG sul Digital Rights Management .

Halderman scrive a proposito di MediaMax , sistema di DRM impiegato sia da Sony BMG che da altri discografici, diverso dall’XCP che ha inguaiato Sony in queste settimane, che si tratta di un sistema che “agisce come uno spyware”.

“MediaMax – scrive il celebre informatico – si collega con server Sony (“phones home”) ogni volta che si ascolta un CD protetto ed installa automaticamente 12 megabyte di software prima ancora di presentare all’utente gli accordi di licenza (EULA); in più non include un sistema di disinstallazione”.

Non solo. Halderman ha rilevato come questo software installi un driver pensato per “interferire con il ripping e la copia di dischi protetti”. “Avevo pensato – scrive Halderman – che MediaMax non attivasse permanentemente questo driver ad ogni accensione del computer, a meno che l’utente non avesse approvato l’EULA. Ma mi sbagliavo, e le cose sono ben peggiori di quanto pensassi”. “Posso confermare – continua – che MediaMax viene attivato permanentemente in molte tipiche situazioni di ascolto anche in assenza di un consenso esplicito”.

Nel suo post Halderman analizza le diverse versioni di MediaMax sul mercato scoprendo che l’installazione non autorizzata avviene al più tardi al secondo ascolto: non accettando l’EULA per la seconda volta, si finisce comunque con MediaMax sul PC. Quello che inquieta molti ora è che questi sistemi DRM sono in circolazione da anni , al contrario dell’XCP finito nel ciclone delle polemiche nelle ultime settimane e diffuso solo da alcuni mesi.

Halderman descrive la questione anche come rischio sicurezza “dal momento che il driver viene caricato come parte del kernel di Windows e ha la possibilità di controllare pressoché qualsiasi aspetto delle operazioni svolte sul computer”.

“Non sappiamo – aggiunge l’esperto – se MediaMax contenga una vulnerabilità che possa essere sfruttata per fare maggiori danni ma il modo in cui viene installato crea un precedente pericoloso”.

Come se non bastasse, ora viene fuori che gli esperti di F-Secure , la società di sicurezza che ha confermato nelle scorse settimane la pericolosità del rookit diffuso da Sony BMG, avevano avvertito la stessa Sony BMG dei problemi con quel software già il 4 ottobre. Stando a BusinessWeek , da quella data fino al 31 ottobre, quando venne a galla lo scandalo grazie ad un post di Mark Russinovich, celebre informatico, Sony BMG non avrebbe agito in alcun modo. Una notizia che, se confermata, getterà cattiva luce sull’azienda che ha sostenuto di aver chiesto il ritiro dei CD infetti non appena ha saputo del problema.

Non sorprende, visti questi avvenimenti, che ieri Sony BMG si sia presa una sonora sculacciata pubblica dal procuratore generale di New York. Di seguito i dettagli.


Sony BMG ha dichiarato, come noto, di aver richiamato milioni di CD infetti con il rootkit delle proprie tecnologie DRM e in questi giorni gli ispettori del procuratore generale di New York, Eliot Spitzer, hanno deciso di verificare. Scoprendo che non è esattamente così.

Gli uomini di Spitzer, sulla scorta della denuncia che il Texas ha presentato contro la multinazionale, e forti degli avvertimenti sui rischi-sicurezza del rootkit Sony BMG provenienti dall’Homeland Security Department, hanno scoperto che molti dei CD infetti sono ancora in vendita .

Spacciandosi per clienti qualsiasi, ha spiegato l’ufficio di Spitzer, gli agenti del procuratore hanno acquistato numerosi CD infetti dopo più di una settimana da quando Sony BMG ha annunciato il ritiro degli stessi. CD comprati in tutte le maggiori catene di distribuzione, da BestBuy a Virgin Megastore, da WalMart a Circuit City.

Dei cinque milioni di CD “al rootkit”, Sony BMG ha ammesso di averne venduti 2,1 milioni , un numero enorme che Spitzer spera possa non allargarsi. Il suo ufficio ha diramato un annuncio in cui si appella ai consumatori affinché non comprino quei CD o, se lo hanno fatto, non li utilizzino sui propri computer. L’alternativa è riportarli in negozio e ottenere il rimborso.

“E’ inaccettabile – ha scritto Spitzer in una nota diffusa alla stampa – che dopo più di tre settimane da quando questa seria vulnerabilità è stata rivelata, quegli stessi CD siano ancora sugli scaffali nei giorni di shopping più intensi dell’anno. Chiedo a tutti i negozianti di diffondere subito avvisi su questi prodotti, di ritirarli dal mercato e rispedirli a Sony”.

Difficile dire come finirà, per ora gli uomini di Spitzer fanno sapere che tutta la questione è oggetto di una indagine che potrebbe concludersi con una denuncia formale come accaduto in Texas.

Da parte sua Sony BMG ha reagito alle iniziative del procuratore affermando, attraverso un portavoce, di aver dato vita “ad un programma di scambio” e di essere “decisa a togliere dai negozi tutte le copie dei 52 titoli interessati “. Infine ha dichiarato di “apprezzare l’appoggio del procuratore generale ai nostri sforzi “. Va detto che Sony BMG a luglio ha accettato di pagare 10 milioni di dollari per chiudere l’indagine avviata proprio da Spitzer sui cosiddetti “payola”, un giro di regalìe che l’azienda avrebbe elargito a destra e a manca per assicurarsi che le proprie tracce in vendita venissero suonate dalle maggiori emittenti radiofoniche.

L’ultima gatta da pelare per Sony BMG in questo quadro sarà il rapporto con gli artisti. Quelli nominati nella lista dei 52 CD al rootkit hanno già visto precipitare le vendite, e quindi gli incassi, una situazione che già nei prossimi giorni potrebbe ripetersi anche per i CD dotati del dispositivo DRM appena denunciato da Halderman.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti