Der Kopierschutz XCP, den Sony/BMG in den USA eingesetzt hat, beinhaltet Rootkit-Methoden, d.h. Programmteile, die sich von Nutzer unbeobachtbar in das System einnisten und Spuren verdecken. Betroffen sind Medienberichten Windows-Rechner mit aktiviertem Autostart für CD-Laufwerke, die Standardeinstellung, jedoch existiert für Windows- und Macintosh-Systeme mit MediaMax ein System, das sich zumindest wie Spyware verhält.
Entdeckt wurde dies von Mark Russinovich von Sysinternals, einer Webseite, die Programme und Informationen für Windows-Versionen ab 95 und NT anbietet, als er ein Sicherheitsprogramm testen wollte, das nach Rootkits sucht und diese entfernen kann. Installiert wird es beim Klick auf das End User License Agreement (EULA) des Abspielprogramms für die Windows-Media-Dateien, das auf der CD mitgeliefert wird, um sie auf dem PC hören zu können. Abgesehen davon versucht dieses Abspielprogramm Kontakt zur Webseite von Sony aufzunehmen, vermutlich um aktualisierte Daten über das angehörte Album zu bekommen, jedoch wird dies ebenfalls im EULA nicht erwähnt.
Das Rootkit versteckt Verzeichnisse und Dateien vor dem Windows-Explorer und Einträge in die Registry, falls diese mit $sys$ beginnen, so dass erst nach genauer Analyse der Speicherbelegung die entsprechenden Dateien gefunden werden können, jedoch nicht mit dem Explorer, sondern nur über die Eingabeaufforderung. Die Entfernung der von First 4 Internet stammenden Programme durch die Betroffenen gestaltet sich schwierig, weil die Programme nicht in der Liste der installierten Software auftauchen, jedoch wird darauf nicht in dem EULA hingewiesen.
Sony/BMG stellte daraufhin ein Deinstallationsprogramm bereit, das allerdings nur nach Ausfüllen eines detaillierten Fragebogen downgeloadet werden kann. Die Daten sollten auch der Marketingabteilung von Sony/BMG zukommen. Nach erneuter Kritik stellte die Firma am 08.11. das Programm zum direkten Download bereit, das jedoch selbst wieder Sicherheitslücken aufweist.
Microsoft und diverse Hersteller von Anti-Viren-Software stufen das Programm als schädlich (Malware) ein und stellen entsprechende Entfernungstools bereit, schließlich lassen sich die Funktionalitäten auch von Autoren „richtiger“ Viren ausnutzen, ein Fall, der ebenfalls bereits dokumentiert wurde. Mittlerweile lenkt die Plattenfirma ein und ruft die CDs mit XCP zurück und wird auch in Zunkunft diesen Kopierschutz nicht mehr einsetzen, jedoch weiterhin MediaMax von SunnComm verwenden.
- Mark Russinovich, Sony, Rootkits and Digital Rights Management Gone Too Far, Sysinternals, 31.10.2005
- Mark Russinovich, More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home, Sysinternals, 04.11.2005
- Liste von CDs mit XCP, EFF, 09.11.2005
- Symantec XCP-Entfernungstool, 16.11.2005
- J. Alex Halderman, Sony Shipping Spyware from SunnComm, Too, Freedom to Tinker, 12.11.2005