В модельном ряду BMW есть электромобиль BMW i3. Машина всем хороша, но известна своим дефективным программным обеспечением. Например, несмотря на наличие работоспособного 3G-модема, установку всех основных апдейтов может выполнять только авторизованный дилер: у него нужно оставить автомобиль на день-два. Вручную устанавливаются только обновления для информационно-развлекательной системы автомобиля.
Веб-сайт с обновлениями не использует SSL. Сайт зачем-то запрашивает VIN и требует принять пользовательское соглашение, прежде чем предоставить доступ к файлам, хотя они свободно доступны по прямым ссылкам. Кто угодно может модифицировать файл, который передаётся по незащищённому соединению.
Специалисты по безопасности недавно провели реверс-инжиниринг прошивки BMW i3.
Они обнаружили обильное количество упоминаний systemd и freedesktop.
Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.
С таким запросом Дункан Бейн и обратился в австралийское подразделение BMW, но получил отказ.
Консультант из центра по взаимодействию с клиентами сказал, что проконсультировался со специалистами технического отдела и сообщает следующее: «Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований "общественной" лицензии».
Дункан Бейн позвонил ещё в BMW Australia по телефону, но ничего не добился. Теперь сообщество и юристам Фонда свободного программного обеспечения предстоит решить, как поступить в такой ситуации.
У BMW есть специальный сайт, где они публикуют код изменений, внесённых ими в различные проекты Open Source, в том числе ConnMan. Но там нет кода прошивок и обновлений, которые непосредственно устанавливаются в автомобили.
Комментарии (55)
dhtml
03.03.2016 22:48+1против корпораций сложно бороться. а немцы известные обманщики. недавно фольксваген поймали на обмане покупателей тоже. это похоже транспортнай шантаж
beeruser
04.03.2016 15:48Все врут(с)
The exhaust emissions scandal („Dieselgate“) [32c3]
http://www.youtube.com/watch?v=xZSU1FPDiao
severgun
04.03.2016 15:53+1Пруф пожалуйста.
Если вы про обман с выхлопами, то причем тут покупатели?mlogarithm
09.03.2016 22:30+1Ну как же это причем? Были заявлены одни параметры выбросов, а по факту были другие. Вполне вероятно я покупал этот автомобиль исходя из значения этого параметра тоже, так как забочусь об окружающей среде.
CaptainFlint
03.03.2016 22:52+18Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.
Если бы это было так, то VMware, TeamViewer, Skype и прочие закрытые программы под Linux тоже нарушали бы лицензию. Писать и распространять проприетарное ПО под линукс можно сколько угодно. А предоставлять исходный код надо, если сама программа собрана с использованием исходного кода, который уже был под GPL (например, если они взяли сам Linux, допилили его под себя и отказались выдавать модифицированные исходники). Из статьи совершенно непонятно, было такое нарушение или нет.Goodkat
03.03.2016 23:07+15У них вполне могут использоваться немодифицированные GPL-программы и ядро, так что "качайте их исходники с kernel.org", а исходники драйверов и собственных программ для управления автомобилем они раскрывать не обязаны, если не используют в них чужой GPL-код.
CaptainFlint
03.03.2016 23:27Именно так.
LLWE_FUL
04.03.2016 16:32«качайте их исходники с kernel.org»
GPL требует, чтобы распространитель бинарников предоставлял пользователям исходники, из которых был собран именно этот бинарник, по первому требованию. Посыл на kernel.org — нарушение лицензии.
А так как фирмварь поставляется в виде единого бинарника, то вполне может подпадать под пункт о линковке, который требует раскрыть все исходники под той же версией GPL (но я не юрист и тут не до конца уверен).CaptainFlint
04.03.2016 17:31Вы невнимательно прочли комментарий:
У них вполне могут использоваться немодифицированные GPL-программы и ядро…
В этом случае посыл на сайт с оригинальными исходниками полностью правомерен.LLWE_FUL
04.03.2016 22:01+1Лицензия GPL с вами не согласна. Так как они поставляют бинарник, они по лицензиии обязаны поставлять и исходник. Даже если ничего не меняли, и даже если скачали готовый бинарник с kernel.org и поставляют его в первозданном виде.
CaptainFlint
04.03.2016 23:21+1Где-то я читал конкретно про такую ситуацию, но ссылку сейчас уже не найду. Там было особо подчёркнуто, что если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов. Собственно, что такое "обязаны поставлять"? Предположим, я собрал программу и дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код. Нигде не сказано, что оба урла обязаны вести на один и тот же сервер.
LLWE_FUL
04.03.2016 23:57+1дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код.
Когда писалась GPL2, гитхаба еще не было, и связь была не такой надежной. Поэтому в лицензии был сделан отдельный упор на то, что лицо (физическое или юридическое), распространяющее бинарник, обязано предоставить исходники самостоятельно, а не отсалать пользователя к другим физическим или юридическим лицам. Посылая пользователя на kernel.org вы фактически нарушаете этот пункт лицензии.
если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов.
В GPL-3 учли появление гитхаба и других подобных сервисов и разрешили давать ссылку на репозитарий, контролируемый третьей стороной, для популярных проектов (при этом, если автор проекта удалил свой репозитарий, а вы не сохранили у себя копию исходников и не можете их достать откуда-то еще, вы все равно лишаетесь возможности распространять бинарник).
Ядро на GPL-3 не перешло и не перейдет в ближайшем будущем.CaptainFlint
05.03.2016 00:25Понятно, спасибо за поправку. Заглянул в текст GPL, похоже, вы правы. Правда, там написано, не обязательно сразу предоставлять, достаточно письменного обещания выдать код по требованию. Но, подозреваю, BMW такого обещания тоже не предоставила.
LLWE_FUL
05.03.2016 00:59Именно так. Причем код вы обязаны предоставить только тем, кому до этого предоставили бинарник. BMW, как я понял из статьи, получила требование от пользователей бинарной выдать код и отказалась его выполнять.
mambet
03.03.2016 23:59Есть ещё такая весёлая лицензия, к слову, как A-GPL (безотносительно к вышесказанному).
kafeman
04.03.2016 04:09+1Это же тоже самое, только допиленное для использования в веб-сервисах?
edwardspec
04.03.2016 23:38С небольшим дополнительным условием. Если на примере:
Если сайт использует http-сервер, лицензированный под AGPL, то на этом сайте должна быть возможность скачать исходники этого http-сервера (в точности той версии, которая там сейчас работает).
Для сравнения, если сайт использует http-сервер, лицензированный под GPL, он никому ничего не должен.kafeman
05.03.2016 00:06Это «небольшое дополнительное условие», вообще-то, и было целью создания AGPL :-)
handicraftsman
05.03.2016 16:18Это на случай, если будет юзаться какой-то фреймворк по типу node.js (знаю, что не фреймворк, но в вебе не больно идеально разбираюсь)
kafeman
05.03.2016 16:53+1Никто в здравом уме не станет лицензировать веб-сервер или веб-фреймворк под AGPL.
Допустим, Хабрахабр решит открыть свои исходники. Если они сделают это под GPL, то кто-нибудь может взять их и использовать у себя. Поскольку сама программа вам не дается (только результат ее выполнения, т.е. веб-страница), то раскрывать исходники вам откажутся. Если исходники сайта будут лицензированы под AGPL, то тогда можно требовать их раскрытия.kmmbvnr
09.03.2016 10:36Огромное количество комерческого серверного софта имеет открытую урезанную версию под AGPL.
С одной стороны, это привлекает новых пользователей, которые вот прям сразу могут взять и начать пользоваться. Можно, например, взять и развернуть AGPL CRM для бизнеса внутри компании, и даже менять ее, не предоставляя исходники сообществу.
C другой стороны, сторонняя компания, не может внезапно взять свободный код, допилить фичи из коммерческой версии и начать ими торговать. Или например нельзя развернуть модифицированное облачное решение, исходники придется предоставлять каждому внешнему клиенту.
Так, что фреймворк или движок какой вполне может быть залицензирован под AGPL.
vasimv
04.03.2016 07:43+3Эта прошивка — явно не одна отдельная пользовательская программа, которая может быть просто слинкована с glibc (и не подчиняться GPL). Здесь весь или большая часть какого-то дистрибутива линукса, включая ядро, systemd, glibc и прочее. То есть они обязаны выдать исходники для сборки всего этого добра, хотя часть своих программ (те, которые написаны ими самими, без вставки кода из GPL программ) — могут дать в виде объектных файлов для линковки.
artsnz
04.03.2016 10:48тогда все компании использующие линукс как основу для закрытой экосистемы должны выдавать свои прошивки, а нет, не тут то было… взять тот же микротик основан на линухе, а закрытая система и таких примеров множество.
ximaera
04.03.2016 13:49http://www.mikrotik.com/downloadterms.html
To get a CD with the corresponding source code for the GPL-covered programs in this distribution, wire transfer $45 to MikroTikls SIA, Pernavas 46, Riga, LV-1009, Latvia. Please contact MikroTikls SIA for our current account information and wire transfer instructions. Offer valid for three years from the date of distribution of this software. This CD will only include the source code of the following programs and any non-proprietary programs distributed according to license requirements. This CD will not include MikroTikls proprietary SOFTWARE.
chupasaurus
04.03.2016 09:14+2Дело о нарушении GPL компанией VMWare в отношении кода ядра Linux сейчас рассматривается в Германии, вынесение приговора намечено на май этого года.
zerocool56
03.03.2016 23:00+7«Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований «общественной» лицензии».
Интересный подход.
Таким образом, раз ты нажал ПЕРЕД получением файла, что признаёшь его чьей-то собственностью и после получения узнал, что он таковой не является, то ты не можешь их обвинить в том, что это чужая собственность, так как подписал какую-то их записюльку?
По мне, так это попахивает мошенничеством.
Я вот сейчас напишу при входе на сайт, что чтобы войти на сайт, всем надо согласиться, что всё, что на сайте — моё.
Все согласятся, а я там Мону Лизу продаю, а чего.
Мой сайт, моё "авторское право", и плевать что картина принадлежит Франции, как таковая ...handicraftsman
03.03.2016 23:46Это надо делать нескольким людям: один нажимает «согласиться», а второй пишет это (а также себя, т. к. так легче будет доказать, что снимал не тот, кто соглашался) на камеру… И можно нормально подавать иск без отказа в виде «вы подписали нашу записюльку».
Zibx
04.03.2016 00:54+5На трекерах при регистрации не помешает пункт "я не являюсь нотариусом, судьёй, полицией или производителем какого бы то ни было контента".
edwardspec
04.03.2016 01:09+2или производителем какого бы то ни было контента
Правообладатели будут упирать на юридическую ничтожность данного пункта, поскольку ни один человек на Земле не удовлетворяет данному критерию.
Нарисовал кота на уроке рисования во 2 классе? Всё, производитель контента.handicraftsman
04.03.2016 13:25Правильней ему было сказать «производитель контента с несвободной лицензией»
edwardspec
04.03.2016 14:06+1Кот, нарисованный во 2 классе, не опубликован под свободной лицензией с вероятностью 99.9%.
По умолчанию (если автор не указал иное) на произведение распространяется строгий копирайт.handicraftsman
04.03.2016 14:07У кота, нарисованного во втором классе, нет лицензии, а также будущего, т. к. его вряд-ли опубликуют.
vikarti
07.03.2016 14:18+1а если я являюсь производителем контента с несвободной лицензией?
— программный код как на гитхабе так и написанный для работодателя и где не было речи про ни про какие открытые лицензии но про служебное задание и так далее что нужно для корректной передачи прав работодателю тоже речи не было.
— опубликованная книжка на СИ (там тоже про свободную в смысле GPL лицензию речи не было, читать можно, копировать… с моей стороны разрешения нет (запрета правда тоже нет), модификация… я обижусь. сильно. потому что это будет классический плагиат.
и что — мне теперь нельзя на трекеры ходить которые такое в правила введут?
Nulliusinverba
04.03.2016 08:03>или производителем какого бы то ни было контента
а вот это зачем? смысла особого нет. нотариусы и судьи тоже хотят раздавать и качать быть может. контент, находящийся в PD вполне законно каким угодно способом распространять и приобретать.
А полицаи будут говорить, что брали на живца и в ОПГ, тоже проверяют не полицай ли ты…
Смысла ноль целый ноль десятый. Зато конечно круто — придумали очередной пункт при регистрации. Поздравляю, вы «производитель контента» — не ходите на торренты, не ваше это.
nikitasius
04.03.2016 10:27Я хз как в других странах, но в нормальных странах локальные пункты правил (сайты, организации, еще невесть какая ерунда) не могут быть выше чем законы в этой стране и не могут ограничивать свободу.
Возможно в сша или австралии наоборот, но в европе точно так.
Так что для локального поведения на ресурсе/в_магазине/в_компании они работают, но они не могут отнимать то, что человеку предоставлено по закону. И если авторство за Васей, а у Пети после скачивания програмки указано, что скачавший признает Петю как автора, Вася спокойной идет в суд.
sumanai
04.03.2016 21:58или производителем какого бы то ни было контента
Даже если я самолично пришёл выложить своё творение в открытый доступ?
Тогда уж лучше
или правообладателем, не являющимся производителем контента
Потому что проблемы в большинстве случаев приносят правообладатели, а не производители контента.Zibx
06.03.2016 18:41Ок, ок "информация на сайте не может быть использована в качестве улики против нашего сайта, заходя вы соглашаетесь что вам есть 51 год, и у вас нет глаз, чтобы увидеть какую-либо противоправную информацию, нет рта чтобы кому-либо рассказать о том что вы не увидели и нет рук чтобы написать. Приятного нахождения на нашем ресурсе!"
d_olex
03.03.2016 23:12+1Прикольно, хэд юнит их не_электрических моделей совершенно точно работал на QNX, по крайней мере несколько лет назад.
MichailT
04.03.2016 09:16Да, на бмв, ауди и мерседес вполне себе может стоять и QNX от Blackberry, согласно прессе имеется договор между тройкой автопроизводителей и блэкберри, с 2015 года. А тесное сотрудничество было и ранее.
(Blackberry владеет уже лет 5-6 системой QNX,
их операционная система Blackberry 10 для мобильных телефонов полностью базируется на легендарной QNX, кьюникс,
операционной системе реального времени, которая как западная система в свое время была под правительственным запретом экспорта технологий в страны СЭВ\Варшавского блока).susnake
04.03.2016 09:42Там список немного побольше. Плюс еще Ford, GM, Hyundai, VW и BlackBerry договорились о создании автопилота на базе QNX.
PapaDen
03.03.2016 23:46Обычная жадность корпораций. Открыв исходники ничего страшного не произойдет. Кто может и хочет взломать их машины, он это и так сделает, а собрать из исходников, для многих это геморрой. Люди он обычные deb и rpm пакеты ставить не умеют. На халяву взять все любят, а вот поделиться могут лишь единицы.
Alexey2005
04.03.2016 11:31Так они не людей боятся, а конкурентов. Сейчас, даже если конкуренты отреверсят прошивку, использовать её в своих системах они не смогут — это незаконно, и в случае такой попытки их можно засудить.
А теперь представьте, что код свободен. Конкуренты просто сэкономят на разработке и выпустят свою продукцию дешевле.
edwardspec
04.03.2016 00:11+2Они обнаружили обильное количество упоминаний systemd и freedesktop.
Для софта, управляющего автомобилем, нет никакого смысла изменять ни X-сервер с библиотеками, ни тем более systemd.
Весьма вероятно, что они используют неизменённую версию.
Что до графических библиотек (Cairo и т.п.), то они лицензированы под LGPL, а не под GPL.
LGPL не требует, чтобы использующая библиотеку программа была свободной.vasimv
04.03.2016 08:02+2Ну вот и проверим — что там из свободного, а что — нет, пусть выложат исходники для сборки прошивок (с бинарниками их лично написанных программ).
Th3CaT
07.03.2016 15:25+1Так они присылают по запросу. Просто BMW — это большая организация. И для такого рода операций у них существует специально обученные люди. К сожалению, саппорт из колл-центра этого не знал.
VerdOrr
04.03.2016 00:28+3Запасаемся попкорном — D-Link, вроде, 2 года пинали/мурыжили…
https://en.wikipedia.org/wiki/Gpl-violations.org
Keyten
04.03.2016 16:57+3Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL
Что тут можно сказать кроме упоминания имени автора новости?
Th3CaT
07.03.2016 15:32Вообще, новость попахивает желтизной. Почему?
Здесь все просто. Несмотря на наличие 3g-модуля в автомобиле, производитель НИГДЕ не заявлял о возможности OTA-обновления ПО, на данный момент сие находится в разработке. Обновление через usb-разъем касается телефонного модуля или HU. Оно действительно появилось в 2010м году, и необходимо лишь для улучшения работы вышеупомянутых железок с девайсами владельца авто (читай, телефонами и медиаплеерами), которые обновляются куда чаще, чем HU автомобилей. Отсюда же требования ввода VIN-кода на сайте: у BMW порядка 7 возможных вариантов прошивок (это лишь привязка к железу без учета привязки к версии ПО) и VIN здесь нужен для определения необходимого для пользователя файла с обновлением. Про галочку с лицензионным соглашением я вообще молчу.
ShadowMaster
При любом решении будет отличный прецедент.