Roma - Nuovi grossi guai in arrivo per Sony BMG a ridosso di uno scandalo che sta affossando le vendite di molti suoi CD: un docente di Princeton ha confermato l'esistenza di un secondo sistema di DRM diffuso dalla major del disco che si installa
ad insaputa dell'utente quando ascolta certi CD sul proprio computer.
Quanto rilevato da Alex Halderman, già
autore con il collega Ed Felten di importanti ricerche sullo
scandalo-rootkit, sta naturalmente
sollevando ulteriore scalpore attorno alle politiche di Sony BMG sul
Digital Rights Management.
Halderman
scrive a proposito di
MediaMax, sistema di DRM impiegato sia da Sony BMG che da altri discografici, diverso dall'XCP che ha inguaiato Sony in queste settimane, che si tratta di un sistema che "agisce come uno spyware".
"MediaMax - scrive il celebre informatico - si collega con server Sony ("phones home") ogni volta che si ascolta un CD protetto ed installa automaticamente
12 megabyte di software prima ancora di presentare all'utente gli accordi di licenza (EULA); in più non include un sistema di disinstallazione".
Non solo. Halderman ha rilevato come questo software
installi un driver pensato per "interferire con il ripping e la copia di dischi protetti". "Avevo pensato - scrive Halderman - che MediaMax non attivasse permanentemente questo driver ad ogni accensione del computer, a meno che l'utente non avesse approvato l'EULA. Ma mi sbagliavo, e le cose sono ben peggiori di quanto pensassi". "Posso confermare - continua - che MediaMax viene attivato permanentemente in molte tipiche situazioni di ascolto anche in assenza di un consenso esplicito".
Nel suo
post Halderman analizza le diverse versioni di MediaMax sul mercato scoprendo che l'installazione non autorizzata avviene al più tardi al secondo ascolto: non accettando l'EULA per la seconda volta, si finisce comunque con MediaMax sul PC. Quello che inquieta molti ora è che questi sistemi DRM
sono in circolazione da anni, al contrario dell'XCP finito nel ciclone delle polemiche nelle ultime settimane e diffuso solo da alcuni mesi.
Halderman descrive la questione anche come
rischio sicurezza "dal momento che il driver viene caricato come parte del kernel di Windows e ha la possibilità di controllare pressoché qualsiasi aspetto delle operazioni svolte sul computer".
"Non sappiamo - aggiunge l'esperto - se MediaMax contenga una vulnerabilità che possa essere sfruttata per fare maggiori danni ma il modo in cui viene installato crea un precedente pericoloso".
Come se non bastasse, ora
viene fuori che gli esperti di
F-Secure, la società di sicurezza che ha confermato nelle scorse settimane la pericolosità del rookit diffuso da Sony BMG, avevano avvertito la stessa Sony BMG dei problemi con quel software già il 4 ottobre. Stando a
BusinessWeek, da quella data fino al 31 ottobre, quando venne a galla lo scandalo grazie ad un post di Mark Russinovich, celebre informatico, Sony BMG non avrebbe agito in alcun modo. Una notizia che, se confermata, getterà cattiva luce sull'azienda che ha sostenuto di aver chiesto il ritiro dei CD infetti non appena ha saputo del problema.
Non sorprende, visti questi avvenimenti, che ieri Sony BMG si sia presa una sonora sculacciata pubblica dal procuratore generale di New York. Di seguito i dettagli.