Extended Copy Protection ( XCP ) คือซอฟต์แวร์ที่พัฒนาโดยบริษัท First 4 Internet ของอังกฤษ (ซึ่งเปลี่ยนชื่อเป็น Fortium Technologies Ltd เมื่อวันที่ 20 พฤศจิกายน 2006) และจำหน่ายเป็น ระบบ ป้องกันการคัดลอกหรือการจัดการสิทธิ์ดิจิทัล (DRM) สำหรับแผ่น ซีดี ซอฟต์แวร์ นี้ถูกนำไปใช้กับซีดีบางแผ่นที่จัดจำหน่ายโดยSony BMGและเป็นต้นเหตุของเรื่องอื้อฉาวเกี่ยวกับการป้องกันการคัดลอกซีดีของ Sony BMG ในปี 2005ในบริบทนั้น ซอฟต์แวร์นี้จึงเป็นที่รู้จักในชื่อSony rootkitด้วย

นักวิจัยด้านความปลอดภัย เริ่มต้นด้วยMark Russinovichในเดือนตุลาคม พ.ศ. 2548 ได้อธิบายโปรแกรมนี้ว่ามีลักษณะการทำงานเหมือนกับรูทคิตซึ่งเป็นโปรแกรมคอมพิวเตอร์ที่ผู้บุกรุกคอมพิวเตอร์ใช้เพื่อปกปิดกิจกรรมที่ไม่ได้รับอนุญาตบนระบบคอมพิวเตอร์ Russinovich ได้เปิดเผยเรื่องนี้ในบล็อก Sysinternals ของเขา ซึ่งได้รับความสนใจจากสื่อและนักวิจัยคนอื่นๆ^{[ 1 ]}ในที่สุดเรื่องนี้ก็นำไปสู่การฟ้องร้องทางแพ่งและการสอบสวนทางอาญา ซึ่งบังคับให้ Sony ต้องยุติการใช้ระบบดังกล่าว

แม้ว่าในที่สุดโซนี่จะเรียกคืนซีดีที่มีระบบ XCP แต่โปรแกรมถอนการติดตั้งบนเว็บก็ได้รับการตรวจสอบโดยนักวิจัยด้านความปลอดภัยที่มีชื่อเสียงอย่างEd FeltenและAlex Haldermanซึ่งระบุว่า ส่วนประกอบ ActiveXที่ใช้ในการลบซอฟต์แวร์ทำให้ผู้ใช้เสี่ยงต่อความเสี่ยงด้านความปลอดภัยที่ร้ายแรงกว่ามาก รวมถึงการเรียกใช้โค้ดตามอำเภอใจจากเว็บไซต์บนอินเทอร์เน็ต^{[ 2 ]}

ซอฟต์แวร์เวอร์ชันที่ใช้ในซีดีของโซนี่คือเวอร์ชันที่วางจำหน่ายในชื่อ XCP-Aurora ครั้งแรกที่ผู้ใช้พยายามเล่นซีดีดังกล่าวบน ระบบ Windowsผู้ใช้จะได้รับข้อตกลงใบอนุญาตผู้ใช้ปลายทาง (EULA) หากผู้ใช้ยอมรับ ซอฟต์แวร์จะถูกติดตั้ง มิฉะนั้นแผ่นดิสก์จะถูกนำออก^{[ 1 ]} EULA ไม่ได้กล่าวถึงการติดตั้งซอฟต์แวร์ที่ซ่อนอยู่ ซอฟต์แวร์จะยังคงอยู่ในระบบของผู้ใช้ โดยจะขัดขวางการเข้าถึงไดรฟ์ซีดีทั้งหมดเพื่อป้องกันไม่ให้ซอฟต์แวร์เล่นสื่อหรือซอฟต์แวร์ริปใดๆ นอกเหนือจากที่รวมอยู่ใน XCP-Aurora เข้าถึงแทร็กเพลงของซีดีโซนี่ ไม่มีวิธีถอนการติดตั้งโปรแกรมที่ชัดเจน การพยายามลบซอฟต์แวร์โดยการลบไฟล์ที่เกี่ยวข้องด้วยตนเองจะทำให้ไดรฟ์ซีดีใช้งานไม่ได้เนื่องจาก การตั้งค่า รีจิสทรีที่โปรแกรมได้เปลี่ยนแปลงอย่างไรก็ตาม ในไม่ช้าก็พบว่าสามารถเอาชนะซอฟต์แวร์ได้ง่ายๆ โดยใช้ปากกาถาวรวาดเส้นขอบสีเข้มตามขอบของแผ่นดิสก์^{[ 3 ]}

หลังจากที่ Mark Russinovich เผยแพร่ผลการค้นพบของเขา นักวิจัยด้านความปลอดภัยคนอื่นๆ ก็รีบเผยแพร่บทวิเคราะห์ของตนเองตามมา ผลการค้นพบเหล่านี้จำนวนมากวิพากษ์วิจารณ์ Sony และ First 4 Internet อย่างรุนแรง โดยเฉพาะอย่างยิ่ง พบว่าซอฟต์แวร์ดังกล่าวซ่อนกิจกรรมของตนเองในลักษณะเดียวกับรูทคิตและทำให้ผู้ใช้เสี่ยงต่ออันตรายจากไวรัสและโทรจัน ใน ภายหลัง

เทคนิคการพรางตัวของ XCP ซึ่งทำให้กระบวนการทั้งหมดที่มีชื่อขึ้นต้นด้วย$sys$มองไม่เห็น สามารถนำไปใช้โดยมัลแวร์ อื่น ที่แฝงตัวมาเพื่อให้แน่ใจว่ามัลแวร์นั้นก็ถูกซ่อนจากสายตาของผู้ใช้เช่นกัน โทรจันที่เป็นอันตรายตัวแรกที่ซ่อนตัวผ่าน XCP ถูกค้นพบเมื่อวันที่ 10 พฤศจิกายน 2548 ตามรายงานของบริษัทแอนติไวรัสBitDefender ^{[ 4 ]}

การวิจัยติดตามผลโดย Felten และ Halderman แสดงให้เห็นว่าโปรแกรมถอนการติดตั้ง บนเว็บ ที่ Sony นำเสนอในภายหลังสำหรับซอฟต์แวร์นั้นมีปัญหาด้านความปลอดภัยที่สำคัญ^{[ 5 ]}ซอฟต์แวร์จะติดตั้ง ส่วนประกอบ ActiveXซึ่งอนุญาตให้เว็บไซต์ใดๆ ก็ตามสามารถเรียกใช้ซอฟต์แวร์บนคอมพิวเตอร์ของผู้ใช้ได้โดยไม่มีข้อจำกัด ส่วนประกอบนี้ถูกใช้โดยเว็บไซต์ของ First 4 Internet เพื่อดาวน์โหลดและเรียกใช้โปรแกรมถอนการติดตั้ง แต่ยังคงทำงานอยู่หลังจากนั้น ทำให้เว็บไซต์ใดๆ ที่ผู้ใช้เข้าชมสามารถควบคุมคอมพิวเตอร์ได้

เนื่องจาก XCP เป็นซอฟต์แวร์เฉพาะสำหรับ Microsoft Windows จึงไม่มีผลกระทบต่อระบบปฏิบัติการอื่นๆ เช่นLinux , BSD , OS/2 , SolarisหรือMac OS Xซึ่งหมายความว่าผู้ใช้ระบบปฏิบัติการเหล่านั้นจะไม่ได้รับอันตรายจากซอฟต์แวร์นี้ และพวกเขาก็จะไม่สามารถคัดลอกเพลงจากแผ่นซีดีได้ตามปกติ (แผ่นซีดีบางแผ่นที่เกี่ยวข้องกับเรื่องอื้อฉาวของ Sony มีเทคโนโลยีคู่แข่งคือMediaMaxจากSunnCommซึ่งพยายามติดตั้ง ส่วนขยาย เคอร์เนลบน Mac OS X อย่างไรก็ตาม เนื่องจากสิทธิ์การเข้าถึงของ Mac OS X จึงไม่มีการติดเชื้อในวงกว้างในหมู่ผู้ใช้ Mac)

แม้ว่า Russinovich จะเป็นคนแรกที่เผยแพร่เกี่ยวกับรูทคิต แต่นักวิจัยคนอื่นๆ ก็ได้ค้นพบมันในช่วงเวลาเดียวกัน แต่บางคนยังคงวิเคราะห์มันอยู่ หรือบางคนเลือกที่จะไม่เปิดเผยอะไรก่อนหน้านี้เนื่องจากผลกระทบ จาก การห้ามการหลีกเลี่ยงของพระราชบัญญัติลิขสิทธิ์ดิจิทัลแห่ง^{สหัสวรรษ} [ ^{6 ]}

หลังจากที่นักวิจัยอิสระเปิดเผยเรื่องนี้ไม่นาน ผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยก็ได้เผยแพร่คำอธิบายโดยละเอียดเกี่ยวกับส่วนประกอบของ XCP รวมถึงซอฟต์แวร์สำหรับลบ$sys$*ส่วนประกอบการพรางตัวออกไป ในทางกลับกัน ยังไม่มีซอฟต์แวร์ใดที่ถูกปล่อยออกมาเพื่อลบส่วนประกอบไดรเวอร์ตัวกรอง CD-ROM ออกไปComputer Associatesผู้ผลิต ซอฟต์แวร์ป้องกันสปายแวร์ PestPatrolระบุว่าซอฟต์แวร์ XCP เป็นทั้งม้าโทรจันและรูทคิต : ^{[ 7 ]}

XCP.Sony.Rootkit ติดตั้ง ไฟล์ปฏิบัติการ DRM เป็นบริการของ Windowsแต่ตั้งชื่อบริการนี้อย่างหลอกลวงว่า " Plug and Play Device Manager" โดยใช้เทคนิคที่ผู้เขียนมัลแวร์มักใช้เพื่อหลอกผู้ใช้ทั่วไปให้เชื่อว่านี่เป็นส่วนหนึ่งของ Windows บริการนี้จะสอบถามไฟล์ปฏิบัติการหลักที่เกี่ยวข้องกับกระบวนการทั้งหมดที่กำลังทำงานอยู่บนเครื่องประมาณทุกๆ 1.5 วินาที ส่งผลให้มีการพยายามอ่านข้อมูลจากฮาร์ดไดรฟ์อย่างต่อเนื่อง ซึ่งมีรายงานว่าทำให้ฮาร์ดไดรฟ์มีอายุการใช้งานสั้นลง

นอกจากนี้ XCP.Sony.Rootkit ยังติดตั้งไดรเวอร์อุปกรณ์โดยเฉพาะไดรเวอร์ตัวกรอง CD-ROM ซึ่งจะดักจับการเรียกใช้ไดรฟ์ CD-ROM หากกระบวนการใดๆ นอกเหนือจากโปรแกรมเล่นเพลง (player.exe) ที่รวมอยู่ด้วย พยายามอ่านส่วนเสียงของซีดี ไดรเวอร์ตัวกรองจะแทรกสัญญาณรบกวนแบบสุ่มเข้าไปในข้อมูลที่ส่งกลับมา ทำให้ไม่สามารถฟังเพลงได้

XCP.Sony.Rootkit โหลดไดรเวอร์ตัวกรองระบบซึ่งดักจับการเรียกใช้ทั้งหมดสำหรับการแสดงรายการกระบวนการ ไดเร็กทอรี หรือรีจิสทรี แม้แต่รายการที่ไม่เกี่ยวข้องกับแอปพลิเคชัน Sony BMG ไดรเวอร์รูทคิตนี้จะแก้ไขข้อมูลที่ระบบปฏิบัติการมองเห็นได้เพื่อซ่อนซอฟต์แวร์ Sony BMG ซึ่งโดยทั่วไปเรียกว่าเทคโนโลยีรูทคิต ยิ่งไปกว่านั้น รูทคิตไม่ได้ส่งผลกระทบเฉพาะไฟล์ของ XCP.Sony.Rootkit เท่านั้น รูทคิตนี้จะซ่อนไฟล์ กระบวนการ หรือคีย์รีจิสทรีทั้งหมดที่ขึ้นต้นด้วย <key> $sys$ซึ่งแสดงถึงช่องโหว่ที่ถูกใช้ประโยชน์ในการซ่อน การแฮ็ก World of Warcraft RING0 แล้ว ณ เวลาที่เขียนบทความนี้ และอาจซ่อนไฟล์และกระบวนการของผู้โจมตีได้เมื่อเข้าถึงระบบที่ติดเชื้อได้แล้ว

Computer Associatesประกาศในเดือนพฤศจิกายน พ.ศ. 2548 ว่าผลิตภัณฑ์ป้องกันสปายแวร์PestPatrol ของตน จะสามารถกำจัดซอฟต์แวร์ของ Sony ได้^{[ 7 ] [ 8 ]}หนึ่งเดือนต่อมาMicrosoftได้ออกอัปเดตสำหรับMalicious Software Removal Toolซึ่งสามารถกำจัดมัลแวร์ F4IRootkit ได้^{[ 9 ] [ 10 ]}

อย่างไรก็ตาม การตอบสนองที่ค่อนข้างช้าและไม่สมบูรณ์ของบริษัทแอนติไวรัสบางแห่งถูกตั้งคำถามโดยBruce Schneierผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล และผู้เขียนบทความและตำราด้านความปลอดภัย รวมถึงหนังสือ Secrets and LiesในบทความสำหรับWired Newsนาย Schneier ถามว่า "จะเกิดอะไรขึ้นเมื่อผู้สร้างมัลแวร์สมรู้ร่วมคิดกับบริษัทที่เราจ้างมาเพื่อปกป้องเราจากมัลแวร์นั้น?" คำตอบของเขาคือ "ผู้ใช้จะสูญเสีย... รูทคิตที่เป็นอันตรายและสร้างความเสียหายจะถูกนำเข้าสู่โลกภายนอก และคอมพิวเตอร์ครึ่งล้านเครื่องจะติดเชื้อก่อนที่ใครจะทำอะไร" ^{[ 11 ]}

ตั้งแต่เดือนสิงหาคม พ.ศ. 2548 ผู้ใช้ Windows รายงานปัญหาการทำงานผิดพลาดที่เกี่ยวข้องกับโปรแกรมชื่อaries.sysโดยไม่สามารถหาไฟล์ดังกล่าวในคอมพิวเตอร์ของตนได้โดยไม่มีสาเหตุ^{[ 12 ]}ปัจจุบันทราบกันดีว่าไฟล์นี้เป็นส่วนหนึ่งของ XCP Leo Laporteผู้ดูแลCall for Helpกล่าวว่าเขาพบว่ามีรายงานเกี่ยวกับไดรฟ์ CD-ROM ที่ "หายไป" เพิ่มขึ้น ซึ่งเป็นอาการของความพยายามที่ไม่สำเร็จในการลบ XCP ^{[ 13 ]}

นักวิจัยด้านความปลอดภัยDan Kaminskyใช้ การวิเคราะห์แคช DNSเพื่อตรวจสอบว่าเครือข่ายทั่วโลก 568,000 เครือข่ายอาจมีคอมพิวเตอร์ที่ติดเชื้อ XCP อย่างน้อยหนึ่งเครื่อง เทคนิคของ Kaminsky ใช้ประโยชน์จากข้อเท็จจริงที่ว่าเนมเซิร์ฟเวอร์ DNS จะแคชผลลัพธ์ที่ดึงมาล่าสุด และ XCP จะติดต่อกลับ ไปยัง โฮสต์เนมเฉพาะโดยการค้นหาเซิร์ฟเวอร์ DNS ที่มีโฮสต์เนมดังกล่าวอยู่ในแคช Kaminsky สามารถประมาณจำนวนเครือข่ายที่ได้รับผลกระทบได้^{[ 14 ]}หลังจากการเผยแพร่ข้อมูล Kaminsky ได้เรียนรู้ว่า "Enhanced CDs" จำนวนหนึ่งซึ่งยังไม่ทราบจำนวนที่แน่นอนที่ไม่มีรูทคิตก็ติดต่อกลับไปยังที่อยู่เดียวกันกับที่แผ่นดิสก์ที่ได้รับผลกระทบจากรูทคิตใช้ ดังนั้นอัตราการติดเชื้อจึงยังอยู่ระหว่างการตรวจสอบอย่างต่อเนื่อง

จากข้อมูลของบริษัทวิเคราะห์Gartnerพบว่า XCP ประสบปัญหาข้อบกพร่องในการใช้งาน DRM เช่นเดียวกับเทคโนโลยี DRM อื่นๆ (ทั้งในปัจจุบันและอนาคต) ที่พยายามนำ DRM มาใช้กับแผ่นซีดีเพลงที่ออกแบบมาเพื่อเล่นบนเครื่องเล่นซีดีแบบสแตนด์อะโลน Gartner ระบุว่า เนื่องจากการติดตั้ง XCP หรือซอฟต์แวร์ DRM ใดๆ อาศัยการที่แผ่นซีดีเป็นแบบหลายเซสชัน การใช้หมึก (โดยใช้ปากกาเมจิกธรรมดา) ที่ขอบด้านนอกของแผ่นทำให้แทร็กข้อมูลของแผ่นซีดีอ่านไม่ได้ ส่งผลให้พีซีถือว่าแผ่นนั้นเป็นแผ่นซีดีเพลงแบบเซสชันเดียวทั่วไป^{[ 3 ]}

มีการคาดเดากันมากมายว่าการกระทำของซอฟต์แวร์นี้ละเมิดกฎหมายต่างๆ เกี่ยวกับการดัดแปลงคอมพิวเตอร์โดยไม่ได้รับอนุญาต หรือกฎหมายเกี่ยวกับการละเมิดความเป็นส่วนตัวโดย " สปายแวร์ " มากน้อยเพียงใด และจะทำให้ Sony และ First 4 Internet ต้องรับผิดทางกฎหมายอย่างไร รัฐแคลิฟอร์เนีย นิวยอร์ก และเท็กซัส รวมถึงอิตาลี ได้ดำเนินการทางกฎหมายกับทั้งสองบริษัทแล้ว และคาดว่าจะมีการฟ้องร้องแบบกลุ่มเพิ่มเติมอีก อย่างไรก็ตาม การพยายามดูหรือลบซอฟต์แวร์นี้เพื่อตรวจสอบหรือป้องกันการเปลี่ยนแปลงระบบปฏิบัติการ Windows นั้น ในทางทฤษฎีแล้วอาจถือเป็นความผิดทางแพ่งหรือทางอาญาภายใต้กฎหมายต่อต้านการหลีกเลี่ยงกฎหมายบางฉบับ เช่นกฎหมายลิขสิทธิ์ดิจิทัลแห่งสหัสวรรษ (Digital Millennium Copyright Act) ที่เป็นที่ถกเถียงกัน ในสหรัฐอเมริกา

วิกินิวส์มีข่าวที่เกี่ยวข้อง:

• โซนี่เผชิญคดีฟ้องร้องแบบกลุ่มเนื่องจากระบบ DRM

Fred von Lohmann จาก Electronic Frontier Foundationวิจารณ์ XCP EULA อย่างหนัก โดยเรียกมันว่า "รูทคิตแบบถูกกฎหมาย" ^{[ 15 ]}

หนึ่งในเหตุผลหลักของการทดลอง XCP อยู่ที่ประเด็นการเพิ่ม DRM เข้าไปในมาตรฐานเดิม ปัญหาเหล่านี้ได้รับการสำรวจโดยศาสตราจารย์ Randal Picker ศาสตราจารย์ด้านกฎหมายจากคณะนิติศาสตร์ มหาวิทยาลัยชิคาโกในบทความของเขาเรื่อง "การจัดการสิทธิ์ดิจิทัลบนพื้นฐานของความไม่ไว้วางใจ" ซึ่งตีพิมพ์ในวารสาร Journal on Telecommunications and High Technology Law เล่มที่ 5 แผ่นซีดีเองไม่สามารถอัปเดตฮาร์ดแวร์เดิม เช่น เครื่องเล่นซีดีแบบตั้งโต๊ะ และขาดความสามารถในการเปลี่ยนแปลงหรืออัปเกรดเฟิร์มแวร์เพื่ออ่าน DRM ดังนั้นจึงต้องเพิ่ม DRM เข้าไปเพื่อไม่ให้รบกวนการทำงานของเครื่องเล่นเดิม แต่ยังคงใช้งานได้เมื่อใส่แผ่นซีดีเดียวกันลงในคอมพิวเตอร์ Picker วิเคราะห์ประเด็นหลักสี่ประการเกี่ยวกับการเพิ่ม DRM

ปัญหาแรก ดังที่แสดงให้เห็นในตัวอย่าง XCP คือ ผู้บริโภคที่มีความสามารถสามารถหลีกเลี่ยง DRM ได้ง่ายๆ การปิดใช้งานการทำงานอัตโนมัติช่วยป้องกันการติดตั้งรูทคิต และทำให้ระบบ DRM ไร้ผล

ปัญหาประการที่สองคือปฏิกิริยาของผู้บริโภค การเพิ่ม DRM เข้าไปในผลิตภัณฑ์ดั้งเดิมอย่างแผ่นซีดีเพลง ซึ่งโดยปกติแล้วไม่มีระบบการจัดการสิทธิ์ จะทำให้ผู้บริโภคไม่พอใจอย่างมาก พิกเกอร์ชี้ให้เห็นว่าหลังจากกระแสวิพากษ์วิจารณ์ในแง่ลบเกี่ยวกับ DRM ที่โซนี่เพิ่มเข้ามาAmazon.comก็เริ่มแจ้งเตือนลูกค้าว่าแผ่นซีดีของโซนี่แผ่นใดบ้างที่มีไฟล์ XCP ลูกค้าสามารถหลีกเลี่ยง DRM ได้อย่างสิ้นเชิง ซึ่งทำให้ประสิทธิภาพของ DRM ลดลง

ปัญหาประการที่สามอยู่ที่การตอบโต้ทางกฎหมาย องค์กร EFF รวมถึงอัยการสูงสุดของรัฐต่างๆ ได้ทำการสืบสวนและฟ้องร้องโซนี่เกี่ยวกับโปรแกรม XCP พิกเกอร์ไม่ได้วิเคราะห์ข้อดีข้อเสียทางกฎหมายของการฟ้องร้องเหล่านั้น แต่ค่าใช้จ่ายในการดำเนินคดีอาจมากกว่าผลประโยชน์จากการพยายามเพิ่มระบบ DRM เข้าไป

ปัญหาที่สี่และสุดท้ายอยู่ที่ข้อตกลงใบอนุญาตผู้ใช้ปลายทาง (EULA) ที่พยายามบังคับใช้โดยระบบ DRM เพิ่มเติม ความสามารถในการบังคับใช้ข้อตกลงเหล่านี้ในระบบ DRM เพิ่มเติมนั้นมีข้อจำกัด เนื่องจากหากไม่มีการลงทะเบียนและติดตามแผ่นซีดีอย่างสม่ำเสมอ บริษัทก็จะไม่สามารถบังคับใช้ข้อตกลงกับใครได้ ดังนั้น ประโยชน์ที่คาดหวังจากการบังคับใช้ EULA กับผู้ละเมิดจึงไม่มีอยู่จริง ในทางกลับกัน ต้นทุนของการนำระบบ DRM เพิ่มเติมมาใช้ ไม่ว่าจะเป็นการสืบสวนของรัฐและรัฐบาลกลาง การฟ้องร้องส่วนตัว การประชาสัมพันธ์ในแง่ลบ การต่อต้านจากผู้บริโภค และข้อจำกัดทางเทคนิค ล้วนมีมากกว่าผลประโยชน์ที่ได้รับอย่างมาก

นักวิจัย Sebastian Porst ^{[ 16 ] และผู้เชี่ยวชาญ ด้าน}ซอฟต์แวร์จำนวนหนึ่งได้เผยแพร่หลักฐานว่าซอฟต์แวร์ XCP ละเมิดลิขสิทธิ์ของตัวเข้ารหัสmp3 LAME ^{[ 17 ]} mpglib [ ^{18 ]} FAAC ^{[ 19 ]} id3lib ^{[ 20 ]} ( การอ่านและการเขียนแท็ก ID3 ) mpg123และโปรแกรมเล่นสื่อ VLC ^{[ 21 ]}

นักวิจัยจาก Princeton อย่าง Alex Halderman ค้นพบว่าในซีดี XCP เกือบทุกแผ่น มีโค้ดที่ใช้ซอฟต์แวร์ DRMS ​​เวอร์ชันดัดแปลงจากJon Johansenซึ่งอนุญาตให้เปิด DRM FairPlayของApple Computerรวมอยู่ด้วย^{[ 22 ]}เขาพบว่าโค้ดนั้นไม่ทำงาน แต่ใช้งานได้อย่างสมบูรณ์ เนื่องจากเขาสามารถใช้มันเพื่อแทรกเพลงลงใน Fairplay ได้ DRMS, mpg123 และ VLC ได้รับอนุญาตภายใต้GNU General Public License (GPL) ส่วนซอฟต์แวร์อื่นๆ ที่พบ เช่น LAME ได้รับอนุญาตภายใต้เงื่อนไขของGNU Lesser General Public License (LGPL) ซึ่งเป็นซอฟต์แวร์ฟรี เช่นกัน หากข้อกล่าวอ้างถูกต้อง Sony BMG ก็ได้เผยแพร่เนื้อหาที่มีลิขสิทธิ์อย่างผิดกฎหมาย

Jon Johansen เขียนในบล็อกของเขา^{[ 23 ]}ว่าหลังจากพูดคุยกับทนายความแล้ว เขาคิดว่าเขาไม่สามารถฟ้องร้องได้ อย่างไรก็ตาม มีความคิดเห็นว่าคำแนะนำที่เขาได้รับนั้นผิด^{[ 24 ]} นักพัฒนา LAME ได้โพสต์จดหมายเปิดผนึก^{[ 25 ]}ถึง Sony BMG ทางออนไลน์

การละเมิดลิขสิทธิ์ที่โซนี่อาจถูกกล่าวหา ได้แก่:

• ไม่มี "ประกาศสำคัญ" ใดๆ เกี่ยวกับการรวมซอฟต์แวร์ GPL และ LGPL ไว้ด้วย
• เชื่อมโยงโค้ด GPL เข้ากับโปรแกรมแบบคงที่ แต่ไม่ได้ให้ซอร์สโค้ดของโปรแกรมทั้งหมดภายใต้ GPL
• การเชื่อมโยงแบบคงที่กับโค้ด LGPL แต่ไม่ให้ซอร์สโค้ดของส่วนที่เป็น LGPL และโค้ดไบนารีของส่วนที่ไม่ใช่ LGPL เพื่อให้สามารถเชื่อมโยงใหม่กับโค้ด LGPL ที่อัปเดตแล้วได้
• การกำหนดข้อจำกัดในการใช้โค้ดนอกเหนือจากที่ GPL/LGPL อนุญาต เช่น การไม่ "อนุญาตให้บุคคลที่สามใช้งานได้ฟรี" ตามที่ระบุไว้ใน LGPL และ GPL

Sony ได้จัดเตรียมซอร์สโค้ดเวอร์ชันหนึ่งของ id3lib ไว้บนเว็บไซต์^{[ 26 ]}แต่ไม่เกี่ยวข้องกับ XCP

ในรายการวิทยุสาธารณะแห่งชาติโทมัส เฮสส์ประธานฝ่ายธุรกิจดิจิทัลระดับโลกของโซนี่ บีเอ็มจี ถามว่า "ผมคิดว่าคนส่วนใหญ่ไม่รู้ด้วยซ้ำว่ารูทคิตคืออะไร แล้วทำไมพวกเขาถึงต้องสนใจล่ะ" ^{[ 27 ]} เขาอธิบายว่า "ซอฟต์แวร์นี้ออกแบบมาเพื่อปกป้องซีดีของเราจากการคัดลอกและ ริป โดยไม่ได้รับอนุญาต"

มาร์ค รัสซิโนวิช ผู้ค้นพบ XCP ในตอนแรก ได้เผยแพร่บทวิเคราะห์เกี่ยวกับโปรแกรมถอนการติดตั้งนี้ในชื่อ "เพิ่มเติมเกี่ยวกับ Sony: แพทช์การซ่อนตัวที่เป็นอันตราย ข้อตกลงสิทธิ์การใช้งาน และการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์" ^{[ 28 ]}การขอรับโปรแกรมถอนการติดตั้งดั้งเดิมนั้น จำเป็นต้องใช้เบราว์เซอร์เฉพาะ (Microsoft Internet Explorer ) และกรอกแบบฟอร์มออนไลน์ด้วยที่อยู่อีเมลของตนเอง รับอีเมล ติดตั้งแพทช์ กรอกแบบฟอร์มออนไลน์อีกครั้ง จากนั้นจะได้รับลิงก์ไปยังโปรแกรมถอนการติดตั้ง ลิงก์นี้เป็นแบบเฉพาะบุคคล และจะไม่สามารถใช้งานสำหรับการถอนการติดตั้งหลายครั้งได้ นอกจากนี้ นโยบายความเป็นส่วนตัวของ Sony ^{[ 29 ]}ระบุว่าที่อยู่นี้สามารถใช้สำหรับการส่งเสริมการขาย หรือมอบให้แก่พันธมิตรหรือ "บุคคลที่สามที่มีชื่อเสียงซึ่งอาจติดต่อคุณโดยตรง"

มีรายงานว่าโปรแกรมถอนการติดตั้งอาจมีปัญหาด้านความปลอดภัย ซึ่งอาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลได้ หน้าถอนการติดตั้งของโซนี่จะพยายามติดตั้งตัวควบคุม ActiveX เมื่อแสดงใน Internet Explorer ตัวควบคุม ActiveX นี้ถูกทำเครื่องหมายว่า "ปลอดภัยสำหรับการเขียนสคริปต์" ซึ่งหมายความว่าเว็บเพจใดๆ ก็สามารถใช้ตัวควบคุมและเมธอดต่างๆ ของมันได้ อย่างไรก็ตาม เมธอดบางอย่างที่ตัวควบคุมนี้มีให้นั้นเป็นอันตราย เนื่องจากอาจทำให้ผู้โจมตีสามารถอัปโหลดและเรียกใช้โค้ดตามอำเภอใจได้

เมื่อวันที่ 11 พฤศจิกายน พ.ศ. 2548 โซนี่ประกาศ^{[ 30 ]}ว่าจะระงับการผลิตซีดีที่ใช้ระบบ XCP:

"เพื่อเป็นการป้องกันไว้ก่อน โซนี่ บีเอ็มจี จึงระงับการผลิตซีดีที่มีเทคโนโลยี XCP เป็นการชั่วคราว" โซนี่ บีเอ็มจี กล่าวในแถลงการณ์ "นอกจากนี้ เรายังตั้งใจที่จะตรวจสอบทุกแง่มุมของโครงการปกป้องเนื้อหาของเราอีกครั้ง เพื่อให้แน่ใจว่ายังคงบรรลุเป้าหมายด้านความปลอดภัยและความสะดวกในการใช้งานของผู้บริโภค" โซนี่ บีเอ็มจี กล่าวเพิ่มเติม

เรื่องนี้เกิดขึ้นหลังจากที่สจ๊วร์ต เบเกอร์ ผู้ช่วยเลขานุการฝ่ายนโยบายของ กระทรวงความมั่นคงแห่งชาติ ได้กล่าวตำหนิผู้ผลิตระบบ DRM ดังที่หนังสือพิมพ์วอชิงตันโพสต์ รายงานไว้ :

สจ๊วตกล่าวต่อโดยมีเป้าหมายชัดเจนไปยังโซนี่และค่ายเพลงอื่นๆ ว่า "สิ่งสำคัญมากคือต้องจำไว้ว่านั่นคือทรัพย์สินทางปัญญาของคุณ ไม่ใช่คอมพิวเตอร์ของคุณ และในการปกป้องทรัพย์สินทางปัญญา สิ่งสำคัญคืออย่าทำลายหรือบ่อนทำลายมาตรการรักษาความปลอดภัยที่ผู้คนจำเป็นต้องนำมาใช้ในปัจจุบัน"

ตามรายงานของ^The New York Times [ ^{31 ]} Sony BMG กล่าวว่า "ซีดีที่มีซอฟต์แวร์ประมาณ 4.7 ล้านแผ่นถูกจัดส่ง และขายได้ประมาณ 2.1 ล้านแผ่น" Sony-BMG ได้จัดจำหน่ายอัลบั้ม 52 อัลบั้มที่มี XCP ^{[ 32 ]}

เมื่อวันที่ 14 พฤศจิกายน พ.ศ. 2548 โซนี่ประกาศเรียกคืนซีดีที่ได้รับผลกระทบและวางแผนที่จะเสนอการแลกเปลี่ยนให้กับผู้บริโภคที่ซื้อแผ่นซีดีดังกล่าว^{[ 33 ]}

มูลนิธิElectronic Frontierได้เผยแพร่รายชื่อ 19 รายการแรกเมื่อวันที่ 9 พฤศจิกายน 2548 ^{[ 34 ]} เมื่อวันที่ 15 พฤศจิกายน 2548 The Registerได้เผยแพร่บทความ^{[ 35 ]}โดยระบุว่าอาจมีมากถึง 47 รายการ Sony BMG กล่าวว่ามีซีดี XCP จำนวน 52 แผ่น^{[ 32 ]}

Amazon ระบุว่าแผ่นซีดี XCP ถือเป็นสินค้าชำรุด และจะคืนเงินพร้อมค่าจัดส่งให้ ตราบใดที่ลูกค้าระบุคำขอ^{[ 36 ]}

• เคร็บส์, ไบรอัน (8 พฤศจิกายน 2005). "คดีฟ้องร้องในแคลิฟอร์เนียพุ่งเป้าไปที่โซนี่" . เดอะ วอชิงตัน โพสต์ . เก็บถาวรจากต้นฉบับเมื่อ 27 เมษายน 2006.

• แผ่นซีดีที่มีระบบ DRM ของโซนี่ติดตั้งรูทคิตสำหรับ Windows (ดู ข่าวเพิ่มเติมได้ ที่Wikinews)