Niet iedereen bij Sony BMG zal de afgelopen tijd fluitend naar zijn werk zijn gegaan. Na alle negatieve publiciteit van de afgelopen tijd rond Sony's beveiligde muziek-cd's, ziet het bedrijf zich gedwongen verdere maatregelen te treffen. De muziekmaatschappij gaat alle cd's van de Amerikaanse markt halen die voorzien zijn van de in opspraak gekomen DRM-technologie. Het gaat daarbij om ongeveer 4,7 miljoen stuks die zijn geproduceerd, waarvan er inmiddels ruim 2,1 miljoen al over Amerikaanse toonbanken zijn gegaan. Consumenten die in het bezit zijn van een dergelijke cd kunnen deze omruilen voor een niet-beveiligde versie van het album. In Europa zijn voor zover bekend geen muziek-cd's met een XPC-beveiliging verkocht.
De terugroepactie betreft bijna vijftig albums van ten minste twintig verschillende artiesten. Ook zal er een e-mailadres en gratis telefoonnummer worden gepubliceerd voor het verkrijgen van informatie omtrent dit omruilprogramma. Dit komt als een vervolgstap op de eerder aangekondigde stopzetting van de productie van dergelijke cd's. Het management van Sony BMG maakte dit vandaag officieel bekend. Het bedrijf zegt de ongemakken voor de klanten ten diepste te betreuren en zegt toe er alles aan te doen dingen recht te zetten. De actie zou Sony naar geschat wordt tientallen miljoenen dollars kunnen kosten.
Daarmee zijn Sony BMG's DRM-zorgen nog niet voorbij. Naast de al bekende trojaanse paarden die er verschenen die misbruik kunnen maken van de 'rootkit' zelf, en de bekendmaking dat Microsoft en antivirussoftwaremakers maatregelen hebben getroffen in hun beveiligingstools, hebben experts vervolgens ook problemen ontdekt rond de eerder door Sony beschikbaar gestelde uninstaller voor de gebruikte XPC-kopieerbeveiliging van First4Internet.
Gebleken is dat bij het aanvragen van de te downloaden DRM-uninstaller op Sony BMG's website, een ActiveX-control werd geïnstalleerd met de naam CodeSupport, eveneens afkomstig van First4Internet. Deze ActiveX-control kan downloadopdrachten uitvoeren op een computer - nodig voor het downloaden van de uninstaller - maar verifieert kennelijk niet of de gedownloade software daadwerkelijk afkomstig is van Sony of First4Internet. Na installatie blijft CodeSupport op de pc staan, waardoor kwaadaardige lieden een webpagina kunnen voorzien van code die CodeSupport de meest uiteenlopende opdrachten kan laten verrichten, zoals het downloaden en installeren van onaardige programmaatjes zonder daartoe om toestemming van de argeloos langs surfende gebruiker te vragen. Dit risico betreft alleen de web-gebaseerde uninstaller in combinatie met het gebruik van Internet Explorer als browser. Inmiddels heeft Sony BMG de uninstaller op de website vervangen door een downloadbare exe- en zip-file. Naar schatting van een beveiligingsexpert zouden tot dusver rond de 500.000 computers Sony BMG's DRM-software geïnstalleerd hebben staan.
Een greep uit de albums met de gewraakte XPC-beveiliging:
Van Zant, Get Right with the Man Sarah McLachlan, Bloom Remix Album Celine Dion, On Ne Change Pas Neil Diamond, 12 Songs Natasha Bedingfield, Unwritten Chris Botti, To Love Again Pete Seeger, The Essential Pete Seeger Cyndi Lauper, The Body Acoustic Burt Bacharach, At This Time Ricky Martin, Life All-Star Tribute to Luther Vandross, So Amazing