Sonys "Rootkit": Antivirenhersteller reagieren

Experten befürchten, Tarnfunktion könne von Malware-Autoren ausgenutzt werden

Antivirenhersteller wollen diese Woche Tools veröffentlichen, die sich dem heftig umstrittenen CD-Kopierschutzmechanismus^[1] von Sony BMG Music Entertainment^[2] widmen. Die von Sony verwendete DRM-Software Extended Copy Protection (XCP) des britischen Herstellers First 4 Internet^[3] sei in ihrer Funktionsweise mit so genannten "Rootkits^[4]" vergleichbar und stelle ein potenzielles Sicherheitsrisiko dar.

Die Kopierschutzsoftware XCP, die in einigen aktuellen in den USA verkauften Sony-Titeln^[5] enthalten ist, installiert sich beim Abspielen der CD auf einem PC. Dabei verankert sich die Software tief im System und nutzt eine ausgefeilte Tarnmethode, um seine Existenz vor Windows und dem Anwender zu verstecken. Sicherheitsexperten befürchten, dass die Versteckfunktion von Malware-Autoren ausgenutzt werden könne, um schädlichen Code vor Virenscannern und anderer Sicherheitssoftware zu verbergen.

Unter den Security-Firmen gehen die Meinungen über Sonys DRM-"Rootkit" weit auseinander. Für die einen ist XCP nicht viel schlimmer als herkömmliche Adware - die anderen betrachten den ungebetenen Gast jedoch als gefährliche Spyware.

SONY IN DER KRITIK: CD- KOPIERSCHUTZ »ROOTKIT« Sony: Sicherheitsbedenken wegen CD-Kopierschutz[1] Rootkits werden bislang eher von Hackern eingesetzt Sonys 'Rootkit': Antivirenhersteller reagieren[6] Experten befürchten, Tarnfunktion könne von Malware-Autoren ausgenutzt werden Schädling nutzt 'Rootkit'-Funktionen in Sonys Kopierschutz aus[7] 'Extended Copy Protection' macht Backdoor.Win32.Breplibot.b unsichtbar Sony BMG kündigt CD-Kopierschutz-Version für Europa an[8] Neues digitales Rechtemanagement mit begrenztem Kontingent geplant Sony BMG setzt Produktion von Musik-CDs mit XCP vorläufig aus[9] Patch gegen Sicherheitslücke kann gratis heruntergeladen werden Microsoft sieht in Sonys Kopierschutz Sicherheitsrisiko[10] »Wir sind besorgt über jede Art von Schadsoftware und ihren Einfluss auf die Computer unserer Kunden« Sony BMG ruft ausgelieferte CDs mit umstrittenem Kopierschutz zurück[11] Insgesamt wurden knapp fünf Millionen Scheiben an den Kunden gebracht

Symantec^[12] teilte am Mittwoch mit, seine Software werde Sonys Kopierschutz zukünftig identifizieren, nicht jedoch entfernen. Stattdessen wolle der Hersteller seine Nutzer auf neue, seit dem PR-Gau von Sony geschaltete Webseiten verweisen. Hier finde der betroffene Anwender Informationen zum fragwürdigen DRM-Wächter sowie die Möglichkeit, einen Uninstaller zu beantragen.

"Wir möchten bekräftigen, dass wir hier nicht über einen Virus oder bösartigen Programmcode sprechen, sondern über eine Technologie, die missbraucht werden könnte. Wir versuchen, die Angelegenheit auf kooperative Weise zu lösen", so Symantecs Senior Director Vincent Weafer in einer Stellungnahme.

Computer Associates^[13] sieht die Angelegenheit weniger gelassen. Im Gegensatz zu Symantec habe CA weitere Sicherheitsprobleme ausgemacht, die durch Sonys DRM-Schutz entstehen. Aus diesem Grund will das Unternehmen seinen Kunden eine direkte Möglichkeit anbieten, die Software zu deinstallieren.

CA zufolge installiert sich die Sony-Software als Standard-Mediaplayer auf dem System, wo die geschützte CD abgespielt werden soll. Anschließend finde über eine "Phone-Home"-Funktion eine Berichterstattung an Sony statt. Informationen wie die IP-Adresse des Anwenders und die eingelegte CD werden an das Unternehmen übermittelt - selbstverständlich nur, um für den Player das richtige CD-Cover darzustellen, versteht sich.

Ob gewollt oder nicht, Sonys Software beeinträchtigt auch die Fähigkeit des Systems, Audio-Tracks von nicht-geschützten CDs zu kopieren. "Die Software fügt kopierten Audiodateien pseudo-zufällige Störgeräusche hinzu, so dass sie weniger angenehm anzuhören sind", sagte Sam Curry von Computer Associates. "Was mich beunruhigt, ist dass dies alles ohne Ankündigung, ohne Einverständnis und ohne Deinstallationsmöglichkeit geschieht."

Ein Sony-Sprecher teilte mit, technische Mitarbeiter des Unternehmens überprüften die von CA identifizierten Sachverhalte derzeit. Eine weitere Stellungnahme war nicht zu erhalten.

Weitere Informationen zum Sony-"Rootkit":

• Sony, Rootkits and Digital Rights Management Gone Too Far^[14]
• More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home^[15]
• Sony’s Rootkit: First 4 Internet Responds^[16]
• Sony: You don’t reeeeaaaally want to uninstall, do you?^[17]
• Sony BMG Content Protection^[18]

URLs in diesem Artikel:
[1] = http://www.zdnet.de/security/news/0,39029460,39137954,00.htm
[2] = http://www.sonybmg.de/
[3] = http://www.first4internet.com/
[4] = http://de.wikipedia.org/wiki/Rootkit
[5] = http://www.eff.org/deeplinks/archives/004144.php
[6] = http://www.zdnet.de/security/news/0,39029460,39138253,00.htm
[7] = http://www.zdnet.de/security/news/0,39029460,39138286,00.htm
[8] = http://www.zdnet.de/security/news/0,39029460,39138282,00.htm
[9] = http://www.zdnet.de/security/news/0,39029460,39138368,00.htm
[10] = http://www.zdnet.de/security/news/0,39029460,39138319,00.htm
[11] = http://www.zdnet.de/security/news/0,39029460,39138485,00.htm
[12] = http://www.symantec.de
[13] = http://www3.ca.com/securityadvisor/
[14] = http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
[15] = http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html
[16] = http://www.sysinternals.com/blog/2005/11/sonys-rootkit-first-4-internet.html
[17] = http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html
[18] = http://cp.sonybmg.com/xcp/english/home.html