FSX: Add-On-Entwickler FSLabs liest heimlich Passwörter von Raubkopierern aus
FlightSimLabs verkauft Zusatzflugzeuge für den beliebten Microsoft Flight Simulator. Die Firma gibt zu, mutmaßlichen Raubkopierern eine Software auf den Rechner installiert zu haben, die deren Chrome-Passwörter an die Entwickler übermittelt.
Schadcode im Anflug: Dieser A320-X von FlightSimLabs hat einen Passwort-Extractor an Bord.
(Bild: FlightSimLabs)
Das unabhängige Entwicklerstudio FlightSimLabs (auch bekannt als FSLabs) entwickelt Zusatzflugzeuge für Microsofts Flight Simulator X (FSX). Um Raubkopierer ihrer Bezahl-Add-Ons zu verfolgen, haben die Entwickler Schadcode in ihren Installer integriert, der deren Chrome-Passwörter ausliest. Nach harscher Kritik auf Reddit und anderen Spieler-Communities haben die Entwickler diese Funktion nun wieder entfernt. Trotzdem hinterlässt der Angriff auf die Rechner mutmaßlicher Raubkopierer einen bitteren Beigeschmack. Schwer begreiflich ist auch, dass die Entwickler entsprechende Schadcode-Angriffe offen zugeben.
Besorgte Käufer werden im Forum verhöhnt
Der Kritik begegnen die Entwickler mit dem Argument, es seien nur Raubkopierer betroffen. Der Installer für das Zusatzflugzeug A320-X prüft demnach die eingegebene Seriennummer auf bekannte, von Raubkopierern veröffentlichte Zugangscodes. Ist der Code auf dem Server des Herstellers als kompromittiert bekannt, installiert das Prüfprogramm ein Tool, welches die Passwörter aus dem Chrome-Browser des Nutzer ausliest und an die Entwickler schickt. Da der Add-On-Installer in der Regel mit Systemrechten ausgestattet ist, kann er das auch ohne weiteres tun. Ob die Passwörter wenigstens sicher übermittelt werden, ist fraglich. Nutzer, die sich über den augenscheinlichen Schadcode-Angriff durch die Add-On-Entwickler in deren Forum beschwerten, werden dort von anderen Nutzern geradezu verhöhnt. Raubkopierer seien Kriminelle, den unschuldigen Nutzern würde ja nichts passieren, so die Meinung der Flugzeug-Fans.
(Bild: Fabian A. Scherschel / heise online)
Selbst wenn man die datenschutzrechtliche Fragwürdigkeit einer Speicherung von an den Hersteller übermittelteten Passwörtern "echter Raubkopierer" außen vor lässt: Bei der verwendeten Methodik ist wohl kaum ausschließen, dass auch die Passwörter unschuldiger Nutzer abgegriffen werden. Würde zum Beispiel der Lizenzcode eines unschuldigen Käufers ohne dessen Wissen im Netz verteilt, könnten seine Passwörter bei einer Neuinstallation des Add-Ons auf den Servern des Herstellers landen. Und dabei sei noch nicht einmal von etwaigen Programmierfehlern der Entwickler ausgegangen, die Passwörter unschuldiger Nutzer kompromittieren könnten.
Überreaktion bei FlightSimLabs
Es steht außer Frage, dass unrechtmäßig kopierte Spiele und Add-Ons einen finanziellen Schaden für deren Entwickler bedeuten können. Besonders für kleine, unabhängige Entwickler kann das ein existenzbedrohendes Problem darstellen. Trotzdem ist es schwer verständlich, wie ein Entwickler-Team auf die Idee kommen kann, auf die Umgehung eines Kopierschutzes mit einem Angriff auf die Rechner seiner Nutzers zu reagieren – selbst wenn diese keine zahlenden Kunden sind.
Die Entwickler geben an, auf diesem Wege bereits Daten erhoben zu haben, die sie "erfolgreich in laufenden Rechtsstreitigkeiten mit solchen Kriminellen" (gemeint sind Raubkopierer) verwendet haben. Fraglich ist, ob sie sich bei diesem Vorhaben nicht selbst strafbar gemacht haben – in Deutschland etwa könnte hierbei § 202a StGB relevant sein. Immerhin sind die FlightSimLabs-Entwickler mittlerweile zurück gerudert und haben die Passwortklau-Funktion aus der neuesten Installer-Version entfernt. (fab)
