Cnet: Download.com verteilt Nmap mit "trojanischem Installer"
Der Autor des Portscanners Nmap, Gordon Lyon alias Fyodor, wirft den Betreibern von Download.com vor(öffnet im neuen Fenster) , dass sie den Nmap-Installer mit einem Wrapper verteilen. Dieser Wrapper verstößt nach Ansicht von Fyodor gegen die GPL und ist Malware, da er die Standardsuchmaschine zu Bing ändert, Toolbars installiert und die Startseite zu MSN ändert. Download.com(öffnet im neuen Fenster) wird von Cnet(öffnet im neuen Fenster) betrieben.
"Trojanischer Installer"
Fyodor bezeichnet den Wrapper von Download.com als "trojanischen Installer" , da das Programm "schmutzige Arbeit verrichte" , bevor der richtige Nmap-Installer heruntergeladen werde. Das Problem dabei ist, dass unbedarfte Nutzer bei einer Installation arglos alles bestätigen. Die danach auftretenden Veränderungen, wie die neue Suchmaschine, bringen Anwender dann aber nicht mit Download.com in Verbindung, sondern mit Nmap.
Auch die Entwickler des VLC-Players(öffnet im neuen Fenster) sahen sich vor wenigen Monaten dazu gezwungen, auf Malware-Anbieter aufmerksam zu machen . Auch der VLC-Player wurde mit dem Wrapper von Download.com versehen(öffnet im neuen Fenster) , ebenso das Netzwerkanalyse-Tool Wireshark(öffnet im neuen Fenster) , dessen Autor Fyodor über das Vorgehen von Download.com informierte.
Marken- und Lizenzverletzung
Da in dem Installer von Download.com der Anschein erweckt werde, Nmap stehe im Zusammenhang mit der zu installierenden Malware, sieht Fyodor die Rechte an der Marke Nmap verletzt. Immerhin steht der Name klar erkenntlich in dem Installer von Download.com, was Fyodor mit einem Screenshot beweist(öffnet im neuen Fenster) .
Darüber hinaus soll der proprietäre Installer auch gegen die Lizenz von Nmap verstoßen. Das Werkzeug unterliegt zwar der GPLv2 , allerdings mit einigen Zusätzen(öffnet im neuen Fenster) . So versteht Fyodor unter dem Begriff "abgeleitetes Werk" explizit auch die Bündelung seiner Software mit einer weiteren Installationsroutine. Gemäß dem Copyleft-Prinzip(öffnet im neuen Fenster) muss dieser Installer dann auch freie Software sein und verstößt andernfalls gegen die GPLv2.
Wrapper verschwunden
In einer zweiten E-Mail schreibt Fyodor(öffnet im neuen Fenster) , dass Microsoft ihn inzwischen kontaktiert habe. Das Unternehmen habe seine Vertriebspartner nicht damit beauftragt, Cnet dabei zu sponsern, freie Software zu "trojanisieren" . Deshalb wurde Cnet gebeten, dies zu unterlassen. Das sei auch geschehen, schreibt Fyodor, stattdessen sei kurzzeitig eine andere Toolbar installiert worden. Inzwischen werde von Download.com jedoch der originale Nmap-Installer angeboten.
Jedoch gilt das nicht für sämtliche Software, die über Download.com angeboten wird. So nennt Fyodor zum Beispiel eine Anwendung für Kinder(öffnet im neuen Fenster) , die nach wie vor mit dem Wrapper ausgeliefert wird. Auf einer speziell eingerichteten Webseite(öffnet im neuen Fenster) informiert der Nmap-Autor über aktuelle Vorgänge und weitere Software, die mit dem proprietären Installer gebündelt ausgeliefert wird. Auf der Seite schreibt er auch, dass er bereits in Kontakt zu den Anwälten der Electronic Frontier Foundation(öffnet im neuen Fenster) stehe.
Nachtrag vom 8. Dezember 2011
Die Betreiber von Download.com gaben inzwischen bekannt(öffnet im neuen Fenster) , dass sie bei freier Software auf eine Bündelung mit dem prorietären Installer verzichten wollten. Darüber hinaus soll für sämtliche nichtfreie Software auch ein Link zum Direktdownload angeboten werden, der ebenfalls ohne den prorietären Installer auskommt. Diese Möglichkeit steht bisher nur für registrierte Nutzer zur Verfügung.