Cnet: Download.com verteilt Nmap mit "trojanischem Installer"

Laut dem Entwickler Fyodor bündelt Download.com den Portscanner Nmap mit einem proprietären Installer. Das verstoße gegen Marken- und Lizenzrechte und der Installer sei Malware, schreibt Fyodor.

Artikel veröffentlicht am ,
Screenshot des Download.com-Installers für Nmap
Screenshot des Download.com-Installers für Nmap (Bild: Gordon)

Der Autor des Portscanners Nmap, Gordon Lyon alias Fyodor, wirft den Betreibern von Download.com vor, dass sie den Nmap-Installer mit einem Wrapper verteilen. Dieser Wrapper verstößt nach Ansicht von Fyodor gegen die GPL und ist Malware, da er die Standardsuchmaschine zu Bing ändert, Toolbars installiert und die Startseite zu MSN ändert. Download.com wird von Cnet betrieben.

"Trojanischer Installer"

Stellenmarkt
  1. IT-Leiter Cluster (m/w/d)
    Helios IT Service GmbH, Wiesbaden, Gotha, Meiningen, Erfurt
  2. Anwendungsentwicklerin / Anwendungsentwickler (m/w/d)
    Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
Detailsuche

Fyodor bezeichnet den Wrapper von Download.com als "trojanischen Installer", da das Programm "schmutzige Arbeit verrichte", bevor der richtige Nmap-Installer heruntergeladen werde. Das Problem dabei ist, dass unbedarfte Nutzer bei einer Installation arglos alles bestätigen. Die danach auftretenden Veränderungen, wie die neue Suchmaschine, bringen Anwender dann aber nicht mit Download.com in Verbindung, sondern mit Nmap.

Auch die Entwickler des VLC-Players sahen sich vor wenigen Monaten dazu gezwungen, auf Malware-Anbieter aufmerksam zu machen. Auch der VLC-Player wurde mit dem Wrapper von Download.com versehen, ebenso das Netzwerkanalyse-Tool Wireshark, dessen Autor Fyodor über das Vorgehen von Download.com informierte.

Marken- und Lizenzverletzung

Da in dem Installer von Download.com der Anschein erweckt werde, Nmap stehe im Zusammenhang mit der zu installierenden Malware, sieht Fyodor die Rechte an der Marke Nmap verletzt. Immerhin steht der Name klar erkenntlich in dem Installer von Download.com, was Fyodor mit einem Screenshot beweist.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Darüber hinaus soll der proprietäre Installer auch gegen die Lizenz von Nmap verstoßen. Das Werkzeug unterliegt zwar der GPLv2 , allerdings mit einigen Zusätzen. So versteht Fyodor unter dem Begriff "abgeleitetes Werk" explizit auch die Bündelung seiner Software mit einer weiteren Installationsroutine. Gemäß dem Copyleft-Prinzip muss dieser Installer dann auch freie Software sein und verstößt andernfalls gegen die GPLv2.

Wrapper verschwunden

In einer zweiten E-Mail schreibt Fyodor, dass Microsoft ihn inzwischen kontaktiert habe. Das Unternehmen habe seine Vertriebspartner nicht damit beauftragt, Cnet dabei zu sponsern, freie Software zu "trojanisieren". Deshalb wurde Cnet gebeten, dies zu unterlassen. Das sei auch geschehen, schreibt Fyodor, stattdessen sei kurzzeitig eine andere Toolbar installiert worden. Inzwischen werde von Download.com jedoch der originale Nmap-Installer angeboten.

Jedoch gilt das nicht für sämtliche Software, die über Download.com angeboten wird. So nennt Fyodor zum Beispiel eine Anwendung für Kinder, die nach wie vor mit dem Wrapper ausgeliefert wird. Auf einer speziell eingerichteten Webseite informiert der Nmap-Autor über aktuelle Vorgänge und weitere Software, die mit dem proprietären Installer gebündelt ausgeliefert wird. Auf der Seite schreibt er auch, dass er bereits in Kontakt zu den Anwälten der Electronic Frontier Foundation stehe.

Nachtrag vom 8. Dezember 2011

Die Betreiber von Download.com gaben inzwischen bekannt, dass sie bei freier Software auf eine Bündelung mit dem prorietären Installer verzichten wollten. Darüber hinaus soll für sämtliche nichtfreie Software auch ein Link zum Direktdownload angeboten werden, der ebenfalls ohne den prorietären Installer auskommt. Diese Möglichkeit steht bisher nur für registrierte Nutzer zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Salzbretzel 08. Dez 2011

Ja, das kannst du. Das darfst du auch. Du bist der Nutzer, du hast nix falsch gemacht...

nOOcrypt 08. Dez 2011

Das mit dem Appstore duerfte MS auch gefallen. Die gucken sowieso schon ganz neidisch...

kernel_panic 07. Dez 2011

In der Sache gebe ich ihm Recht aber jemand, der beim Installieren von Software alles...



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /