Австралийский автовладелец Дункан Бейн (Duncan Bayne) сообщил о случае нарушения лицензии GNU GPL (GNU General Public License). Нарушителем является ни кто иной, а известный немецкий производитель автомобилей BMW.

В модельном ряду BMW есть электромобиль BMW i3. Машина всем хороша, но известна своим дефективным программным обеспечением. Например, несмотря на наличие работоспособного 3G-модема, установку всех основных апдейтов может выполнять только авторизованный дилер: у него нужно оставить автомобиль на день-два. Вручную устанавливаются только обновления для информационно-развлекательной системы автомобиля.

Веб-сайт с обновлениями не использует SSL. Сайт зачем-то запрашивает VIN и требует принять пользовательское соглашение, прежде чем предоставить доступ к файлам, хотя они свободно доступны по прямым ссылкам. Кто угодно может модифицировать файл, который передаётся по незащищённому соединению.

Специалисты по безопасности недавно провели реверс-инжиниринг прошивки BMW i3.



Они обнаружили обильное количество упоминаний systemd и freedesktop.



Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.

С таким запросом Дункан Бейн и обратился в австралийское подразделение BMW, но получил отказ.

Консультант из центра по взаимодействию с клиентами сказал, что проконсультировался со специалистами технического отдела и сообщает следующее: «Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований "общественной" лицензии».

Дункан Бейн позвонил ещё в BMW Australia по телефону, но ничего не добился. Теперь сообщество и юристам Фонда свободного программного обеспечения предстоит решить, как поступить в такой ситуации.

У BMW есть специальный сайт, где они публикуют код изменений, внесённых ими в различные проекты Open Source, в том числе ConnMan. Но там нет кода прошивок и обновлений, которые непосредственно устанавливаются в автомобили.

Комментарии (55)


  1. ShadowMaster
    03.03.2016 22:34
    +9

    При любом решении будет отличный прецедент.


  1. dhtml
    03.03.2016 22:48
    +1

    против корпораций сложно бороться. а немцы известные обманщики. недавно фольксваген поймали на обмане покупателей тоже. это похоже транспортнай шантаж


    1. beeruser
      04.03.2016 15:48

      Все врут(с)

      The exhaust emissions scandal („Dieselgate“) [32c3]
      http://www.youtube.com/watch?v=xZSU1FPDiao


    1. severgun
      04.03.2016 15:53
      +1

      Пруф пожалуйста.
      Если вы про обман с выхлопами, то причем тут покупатели?


      1. mlogarithm
        09.03.2016 22:30
        +1

        Ну как же это причем? Были заявлены одни параметры выбросов, а по факту были другие. Вполне вероятно я покупал этот автомобиль исходя из значения этого параметра тоже, так как забочусь об окружающей среде.


  1. CaptainFlint
    03.03.2016 22:52
    +18

    Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.
    Если бы это было так, то VMware, TeamViewer, Skype и прочие закрытые программы под Linux тоже нарушали бы лицензию. Писать и распространять проприетарное ПО под линукс можно сколько угодно. А предоставлять исходный код надо, если сама программа собрана с использованием исходного кода, который уже был под GPL (например, если они взяли сам Linux, допилили его под себя и отказались выдавать модифицированные исходники). Из статьи совершенно непонятно, было такое нарушение или нет.


    1. Goodkat
      03.03.2016 23:07
      +15

      У них вполне могут использоваться немодифицированные GPL-программы и ядро, так что "качайте их исходники с kernel.org", а исходники драйверов и собственных программ для управления автомобилем они раскрывать не обязаны, если не используют в них чужой GPL-код.


      1. CaptainFlint
        03.03.2016 23:27

        Именно так.


        1. LLWE_FUL
          04.03.2016 16:32

          «качайте их исходники с kernel.org»
          GPL требует, чтобы распространитель бинарников предоставлял пользователям исходники, из которых был собран именно этот бинарник, по первому требованию. Посыл на kernel.org — нарушение лицензии.
          А так как фирмварь поставляется в виде единого бинарника, то вполне может подпадать под пункт о линковке, который требует раскрыть все исходники под той же версией GPL (но я не юрист и тут не до конца уверен).


          1. CaptainFlint
            04.03.2016 17:31

            Вы невнимательно прочли комментарий:

            У них вполне могут использоваться немодифицированные GPL-программы и ядро
            В этом случае посыл на сайт с оригинальными исходниками полностью правомерен.


            1. LLWE_FUL
              04.03.2016 22:01
              +1

              Лицензия GPL с вами не согласна. Так как они поставляют бинарник, они по лицензиии обязаны поставлять и исходник. Даже если ничего не меняли, и даже если скачали готовый бинарник с kernel.org и поставляют его в первозданном виде.


              1. CaptainFlint
                04.03.2016 23:21
                +1

                Где-то я читал конкретно про такую ситуацию, но ссылку сейчас уже не найду. Там было особо подчёркнуто, что если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов. Собственно, что такое "обязаны поставлять"? Предположим, я собрал программу и дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код. Нигде не сказано, что оба урла обязаны вести на один и тот же сервер.


                1. LLWE_FUL
                  04.03.2016 23:57
                  +1

                  дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код.

                  Когда писалась GPL2, гитхаба еще не было, и связь была не такой надежной. Поэтому в лицензии был сделан отдельный упор на то, что лицо (физическое или юридическое), распространяющее бинарник, обязано предоставить исходники самостоятельно, а не отсалать пользователя к другим физическим или юридическим лицам. Посылая пользователя на kernel.org вы фактически нарушаете этот пункт лицензии.

                  если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов.

                  В GPL-3 учли появление гитхаба и других подобных сервисов и разрешили давать ссылку на репозитарий, контролируемый третьей стороной, для популярных проектов (при этом, если автор проекта удалил свой репозитарий, а вы не сохранили у себя копию исходников и не можете их достать откуда-то еще, вы все равно лишаетесь возможности распространять бинарник).
                  Ядро на GPL-3 не перешло и не перейдет в ближайшем будущем.


                  1. CaptainFlint
                    05.03.2016 00:25

                    Понятно, спасибо за поправку. Заглянул в текст GPL, похоже, вы правы. Правда, там написано, не обязательно сразу предоставлять, достаточно письменного обещания выдать код по требованию. Но, подозреваю, BMW такого обещания тоже не предоставила.


                    1. LLWE_FUL
                      05.03.2016 00:59

                      Именно так. Причем код вы обязаны предоставить только тем, кому до этого предоставили бинарник. BMW, как я понял из статьи, получила требование от пользователей бинарной выдать код и отказалась его выполнять.


                    1. LLWE_FUL
                      05.03.2016 01:04

                      бинарной

                      бинарной прошивки


    1. mambet
      03.03.2016 23:59

      Есть ещё такая весёлая лицензия, к слову, как A-GPL (безотносительно к вышесказанному).


      1. kafeman
        04.03.2016 04:09
        +1

        Это же тоже самое, только допиленное для использования в веб-сервисах?


        1. edwardspec
          04.03.2016 23:38

          С небольшим дополнительным условием. Если на примере:

          Если сайт использует http-сервер, лицензированный под AGPL, то на этом сайте должна быть возможность скачать исходники этого http-сервера (в точности той версии, которая там сейчас работает).

          Для сравнения, если сайт использует http-сервер, лицензированный под GPL, он никому ничего не должен.


          1. kafeman
            05.03.2016 00:06

            Это «небольшое дополнительное условие», вообще-то, и было целью создания AGPL :-)


            1. handicraftsman
              05.03.2016 16:18

              Это на случай, если будет юзаться какой-то фреймворк по типу node.js (знаю, что не фреймворк, но в вебе не больно идеально разбираюсь)


              1. kafeman
                05.03.2016 16:53
                +1

                Никто в здравом уме не станет лицензировать веб-сервер или веб-фреймворк под AGPL.

                Допустим, Хабрахабр решит открыть свои исходники. Если они сделают это под GPL, то кто-нибудь может взять их и использовать у себя. Поскольку сама программа вам не дается (только результат ее выполнения, т.е. веб-страница), то раскрывать исходники вам откажутся. Если исходники сайта будут лицензированы под AGPL, то тогда можно требовать их раскрытия.


                1. kmmbvnr
                  09.03.2016 10:36

                  Огромное количество комерческого серверного софта имеет открытую урезанную версию под AGPL.

                  С одной стороны, это привлекает новых пользователей, которые вот прям сразу могут взять и начать пользоваться. Можно, например, взять и развернуть AGPL CRM для бизнеса внутри компании, и даже менять ее, не предоставляя исходники сообществу.

                  C другой стороны, сторонняя компания, не может внезапно взять свободный код, допилить фичи из коммерческой версии и начать ими торговать. Или например нельзя развернуть модифицированное облачное решение, исходники придется предоставлять каждому внешнему клиенту.

                  Так, что фреймворк или движок какой вполне может быть залицензирован под AGPL.


    1. vasimv
      04.03.2016 07:43
      +3

      Эта прошивка — явно не одна отдельная пользовательская программа, которая может быть просто слинкована с glibc (и не подчиняться GPL). Здесь весь или большая часть какого-то дистрибутива линукса, включая ядро, systemd, glibc и прочее. То есть они обязаны выдать исходники для сборки всего этого добра, хотя часть своих программ (те, которые написаны ими самими, без вставки кода из GPL программ) — могут дать в виде объектных файлов для линковки.


      1. artsnz
        04.03.2016 10:48

        тогда все компании использующие линукс как основу для закрытой экосистемы должны выдавать свои прошивки, а нет, не тут то было… взять тот же микротик основан на линухе, а закрытая система и таких примеров множество.


        1. ximaera
          04.03.2016 13:49

          http://www.mikrotik.com/downloadterms.html

          To get a CD with the corresponding source code for the GPL-covered programs in this distribution, wire transfer $45 to MikroTikls SIA, Pernavas 46, Riga, LV-1009, Latvia. Please contact MikroTikls SIA for our current account information and wire transfer instructions. Offer valid for three years from the date of distribution of this software. This CD will only include the source code of the following programs and any non-proprietary programs distributed according to license requirements. This CD will not include MikroTikls proprietary SOFTWARE.


    1. chupasaurus
      04.03.2016 09:14
      +2

      Дело о нарушении GPL компанией VMWare в отношении кода ядра Linux сейчас рассматривается в Германии, вынесение приговора намечено на май этого года.


  1. zerocool56
    03.03.2016 23:00
    +7

    «Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований «общественной» лицензии».

    Интересный подход.
    Таким образом, раз ты нажал ПЕРЕД получением файла, что признаёшь его чьей-то собственностью и после получения узнал, что он таковой не является, то ты не можешь их обвинить в том, что это чужая собственность, так как подписал какую-то их записюльку?

    По мне, так это попахивает мошенничеством.

    Я вот сейчас напишу при входе на сайт, что чтобы войти на сайт, всем надо согласиться, что всё, что на сайте — моё.
    Все согласятся, а я там Мону Лизу продаю, а чего.

    Мой сайт, моё "авторское право", и плевать что картина принадлежит Франции, как таковая ...


    1. handicraftsman
      03.03.2016 23:46

      Это надо делать нескольким людям: один нажимает «согласиться», а второй пишет это (а также себя, т. к. так легче будет доказать, что снимал не тот, кто соглашался) на камеру… И можно нормально подавать иск без отказа в виде «вы подписали нашу записюльку».


    1. Zibx
      04.03.2016 00:54
      +5

      На трекерах при регистрации не помешает пункт "я не являюсь нотариусом, судьёй, полицией или производителем какого бы то ни было контента".


      1. edwardspec
        04.03.2016 01:09
        +2

        или производителем какого бы то ни было контента
        Правообладатели будут упирать на юридическую ничтожность данного пункта, поскольку ни один человек на Земле не удовлетворяет данному критерию.

        Нарисовал кота на уроке рисования во 2 классе? Всё, производитель контента.


        1. handicraftsman
          04.03.2016 13:25

          Правильней ему было сказать «производитель контента с несвободной лицензией»


          1. edwardspec
            04.03.2016 14:06
            +1

            Кот, нарисованный во 2 классе, не опубликован под свободной лицензией с вероятностью 99.9%.
            По умолчанию (если автор не указал иное) на произведение распространяется строгий копирайт.


            1. handicraftsman
              04.03.2016 14:07

              У кота, нарисованного во втором классе, нет лицензии, а также будущего, т. к. его вряд-ли опубликуют.


          1. vikarti
            07.03.2016 14:18
            +1

            а если я являюсь производителем контента с несвободной лицензией?
            — программный код как на гитхабе так и написанный для работодателя и где не было речи про ни про какие открытые лицензии но про служебное задание и так далее что нужно для корректной передачи прав работодателю тоже речи не было.
            — опубликованная книжка на СИ (там тоже про свободную в смысле GPL лицензию речи не было, читать можно, копировать… с моей стороны разрешения нет (запрета правда тоже нет), модификация… я обижусь. сильно. потому что это будет классический плагиат.

            и что — мне теперь нельзя на трекеры ходить которые такое в правила введут?


      1. Goodluck
        04.03.2016 02:54
        +5

        Я видел американские трекеры с подобным пунктом в правилах. Их уже нет…


      1. Nulliusinverba
        04.03.2016 08:03

        >или производителем какого бы то ни было контента
        а вот это зачем? смысла особого нет. нотариусы и судьи тоже хотят раздавать и качать быть может. контент, находящийся в PD вполне законно каким угодно способом распространять и приобретать.

        А полицаи будут говорить, что брали на живца и в ОПГ, тоже проверяют не полицай ли ты…

        Смысла ноль целый ноль десятый. Зато конечно круто — придумали очередной пункт при регистрации. Поздравляю, вы «производитель контента» — не ходите на торренты, не ваше это.


      1. nikitasius
        04.03.2016 10:27

        Я хз как в других странах, но в нормальных странах локальные пункты правил (сайты, организации, еще невесть какая ерунда) не могут быть выше чем законы в этой стране и не могут ограничивать свободу.
        Возможно в сша или австралии наоборот, но в европе точно так.

        Так что для локального поведения на ресурсе/в_магазине/в_компании они работают, но они не могут отнимать то, что человеку предоставлено по закону. И если авторство за Васей, а у Пети после скачивания програмки указано, что скачавший признает Петю как автора, Вася спокойной идет в суд.


        1. Zibx
          06.03.2016 18:36

          Никто не отнимает авторства у Васи.


          1. nikitasius
            06.03.2016 21:57

            Так они вообще болт положили на GPL.


      1. sumanai
        04.03.2016 21:58

        или производителем какого бы то ни было контента

        Даже если я самолично пришёл выложить своё творение в открытый доступ?
        Тогда уж лучше

        или правообладателем, не являющимся производителем контента

        Потому что проблемы в большинстве случаев приносят правообладатели, а не производители контента.


        1. Zibx
          06.03.2016 18:41

          Ок, ок "информация на сайте не может быть использована в качестве улики против нашего сайта, заходя вы соглашаетесь что вам есть 51 год, и у вас нет глаз, чтобы увидеть какую-либо противоправную информацию, нет рта чтобы кому-либо рассказать о том что вы не увидели и нет рук чтобы написать. Приятного нахождения на нашем ресурсе!"


  1. Plombeer
    03.03.2016 23:06

    Пока идет тяжба они перепишут прошивку. Привет, гугл


  1. d_olex
    03.03.2016 23:12
    +1

    Прикольно, хэд юнит их не_электрических моделей совершенно точно работал на QNX, по крайней мере несколько лет назад.


    1. MichailT
      04.03.2016 09:16

      Да, на бмв, ауди и мерседес вполне себе может стоять и QNX от Blackberry, согласно прессе имеется договор между тройкой автопроизводителей и блэкберри, с 2015 года. А тесное сотрудничество было и ранее.
      (Blackberry владеет уже лет 5-6 системой QNX,
      их операционная система Blackberry 10 для мобильных телефонов полностью базируется на легендарной QNX, кьюникс,
      операционной системе реального времени, которая как западная система в свое время была под правительственным запретом экспорта технологий в страны СЭВ\Варшавского блока).


      1. susnake
        04.03.2016 09:42

        Там список немного побольше. Плюс еще Ford, GM, Hyundai, VW и BlackBerry договорились о создании автопилота на базе QNX.


  1. PapaDen
    03.03.2016 23:46

    Обычная жадность корпораций. Открыв исходники ничего страшного не произойдет. Кто может и хочет взломать их машины, он это и так сделает, а собрать из исходников, для многих это геморрой. Люди он обычные deb и rpm пакеты ставить не умеют. На халяву взять все любят, а вот поделиться могут лишь единицы.


    1. Alexey2005
      04.03.2016 11:31

      Так они не людей боятся, а конкурентов. Сейчас, даже если конкуренты отреверсят прошивку, использовать её в своих системах они не смогут — это незаконно, и в случае такой попытки их можно засудить.
      А теперь представьте, что код свободен. Конкуренты просто сэкономят на разработке и выпустят свою продукцию дешевле.


      1. sumanai
        04.03.2016 22:00

        Открытый код != Код можно использовать как угодно.


  1. edwardspec
    04.03.2016 00:11
    +2

    Они обнаружили обильное количество упоминаний systemd и freedesktop.
    Для софта, управляющего автомобилем, нет никакого смысла изменять ни X-сервер с библиотеками, ни тем более systemd.
    Весьма вероятно, что они используют неизменённую версию.

    Что до графических библиотек (Cairo и т.п.), то они лицензированы под LGPL, а не под GPL.
    LGPL не требует, чтобы использующая библиотеку программа была свободной.


    1. vasimv
      04.03.2016 08:02
      +2

      Ну вот и проверим — что там из свободного, а что — нет, пусть выложат исходники для сборки прошивок (с бинарниками их лично написанных программ).


      1. Th3CaT
        07.03.2016 15:25
        +1

        Так они присылают по запросу. Просто BMW — это большая организация. И для такого рода операций у них существует специально обученные люди. К сожалению, саппорт из колл-центра этого не знал.


  1. VerdOrr
    04.03.2016 00:28
    +3

    Запасаемся попкорном — D-Link, вроде, 2 года пинали/мурыжили…
    https://en.wikipedia.org/wiki/Gpl-violations.org


  1. Keyten
    04.03.2016 16:57
    +3

    Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL

    Что тут можно сказать кроме упоминания имени автора новости?


  1. Th3CaT
    07.03.2016 15:32

    Вообще, новость попахивает желтизной. Почему?
    Здесь все просто. Несмотря на наличие 3g-модуля в автомобиле, производитель НИГДЕ не заявлял о возможности OTA-обновления ПО, на данный момент сие находится в разработке. Обновление через usb-разъем касается телефонного модуля или HU. Оно действительно появилось в 2010м году, и необходимо лишь для улучшения работы вышеупомянутых железок с девайсами владельца авто (читай, телефонами и медиаплеерами), которые обновляются куда чаще, чем HU автомобилей. Отсюда же требования ввода VIN-кода на сайте: у BMW порядка 7 возможных вариантов прошивок (это лишь привязка к железу без учета привязки к версии ПО) и VIN здесь нужен для определения необходимого для пользователя файла с обновлением. Про галочку с лицензионным соглашением я вообще молчу.