Centraal punt in de discussie is volgens internetadvocaat en open-sourcekenner Christiaan Alberdingk Thijm de gekozen licentie, de Lesser GPL, die het mogelijk maakt om software te maken op basis van libraries zonder dat je je eigen broncode moet vrijgegeven.

Uitglijder

Het punt is dat Sony BMG een enkel uitvoerbaar programma lijkt te leveren (GO.exe), zonder de libraries apart te houden. "Als het een executable is geworden, kan je die werken niet meer als apart van elkaar kunnen zien. Als je ze ook samen distribueert dan is het een ander geval", zegt Alberdingk Thijm. "Je hebt dan een nieuw, gemodificeerd werk gemaakt en dan ben je verplicht je broncode openbaar te maken."

Tijdens een interview met de podcast ICT Roddels wijst de internetadvocaat erop dat de makers nu openbaring van de broncode kunnen eisen. Hij noemt het ironisch dat om de auteurswet te beschermen diezelfde wet wordt overtreden.

Ondertussen lijkt het er steeds meer op dat de software op de muziek-cd's van Sony BMG een samenraapsel van verschillende code is. Zo is er een post in een nieuwsgroep, waar de vermoedelijke maker vraagt om kant-en-klare drm-code voor het wma-audioformaat van Microsoft.

Onveilige uninstaller

Maar de problemen blijven niet beperkt tot de spyware zelf. Ook het uninstall-programma is geen toonbeeld van perfectie. Volgens computerexpert Matti Nikki heeft de uninstaller een ActiveX-component nodig om te kunnen worden geladen, waarbij de mogelijkheid tot scripting actief is.

Als voorbeeld laat hij op zijn website zien hoe een computer tot een reboot kan worden gedwongen. "Het is in principe een achterdeur die wijd open staat", zegt Nikki tegenover Webwereld. De expert verwacht dan ook dat allerhande vormen van misbruik mogelijk zijn.

Inmiddels is uit nader speurwerk gebleken dat er meer licenties op het open-sourceproject LAME van toepassing zijn. Volgens de licentie wordt ook gebruik gemaakt van mpg123 en als die software is meegenomen in de spyware, wat volgens kenners zeer waarschijnlijk is, dan is hierop de GPL-licentie van toepassing. Deze licentie gebiedt dat alle broncode van het project door bezitters van de programmatuur kan worden opgeeist. Hiermee kan vervolgens worden bepaald wat de software doet en welke informatie precies aan Sony BMG wordt doorgestuurd.