BMW Australia отказывается соблюдать условия лицензии GPL

    Австралийский автовладелец Дункан Бейн (Duncan Bayne) сообщил о случае нарушения лицензии GNU GPL (GNU General Public License). Нарушителем является ни кто иной, а известный немецкий производитель автомобилей BMW.

    В модельном ряду BMW есть электромобиль BMW i3. Машина всем хороша, но известна своим дефективным программным обеспечением. Например, несмотря на наличие работоспособного 3G-модема, установку всех основных апдейтов может выполнять только авторизованный дилер: у него нужно оставить автомобиль на день-два. Вручную устанавливаются только обновления для информационно-развлекательной системы автомобиля.

    Веб-сайт с обновлениями не использует SSL. Сайт зачем-то запрашивает VIN и требует принять пользовательское соглашение, прежде чем предоставить доступ к файлам, хотя они свободно доступны по прямым ссылкам. Кто угодно может модифицировать файл, который передаётся по незащищённому соединению.

    Специалисты по безопасности недавно провели реверс-инжиниринг прошивки BMW i3.



    Они обнаружили обильное количество упоминаний systemd и freedesktop.



    Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.

    С таким запросом Дункан Бейн и обратился в австралийское подразделение BMW, но получил отказ.

    Консультант из центра по взаимодействию с клиентами сказал, что проконсультировался со специалистами технического отдела и сообщает следующее: «Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований "общественной" лицензии».

    Дункан Бейн позвонил ещё в BMW Australia по телефону, но ничего не добился. Теперь сообщество и юристам Фонда свободного программного обеспечения предстоит решить, как поступить в такой ситуации.

    У BMW есть специальный сайт, где они публикуют код изменений, внесённых ими в различные проекты Open Source, в том числе ConnMan. Но там нет кода прошивок и обновлений, которые непосредственно устанавливаются в автомобили.
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 55

      +9
      При любом решении будет отличный прецедент.
        +1
        против корпораций сложно бороться. а немцы известные обманщики. недавно фольксваген поймали на обмане покупателей тоже. это похоже транспортнай шантаж
          0
          Все врут(с)

          The exhaust emissions scandal („Dieselgate“) [32c3]
          http://www.youtube.com/watch?v=xZSU1FPDiao
            +1
            Пруф пожалуйста.
            Если вы про обман с выхлопами, то причем тут покупатели?
              +1
              Ну как же это причем? Были заявлены одни параметры выбросов, а по факту были другие. Вполне вероятно я покупал этот автомобиль исходя из значения этого параметра тоже, так как забочусь об окружающей среде.
            +18
            Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL, то есть предоставить исходный код вместе с бинарными файлами.
            Если бы это было так, то VMware, TeamViewer, Skype и прочие закрытые программы под Linux тоже нарушали бы лицензию. Писать и распространять проприетарное ПО под линукс можно сколько угодно. А предоставлять исходный код надо, если сама программа собрана с использованием исходного кода, который уже был под GPL (например, если они взяли сам Linux, допилили его под себя и отказались выдавать модифицированные исходники). Из статьи совершенно непонятно, было такое нарушение или нет.
              +15
              У них вполне могут использоваться немодифицированные GPL-программы и ядро, так что "качайте их исходники с kernel.org", а исходники драйверов и собственных программ для управления автомобилем они раскрывать не обязаны, если не используют в них чужой GPL-код.
                0
                Именно так.
                  0
                  «качайте их исходники с kernel.org»
                  GPL требует, чтобы распространитель бинарников предоставлял пользователям исходники, из которых был собран именно этот бинарник, по первому требованию. Посыл на kernel.org — нарушение лицензии.
                  А так как фирмварь поставляется в виде единого бинарника, то вполне может подпадать под пункт о линковке, который требует раскрыть все исходники под той же версией GPL (но я не юрист и тут не до конца уверен).
                    0
                    Вы невнимательно прочли комментарий:
                    У них вполне могут использоваться немодифицированные GPL-программы и ядро
                    В этом случае посыл на сайт с оригинальными исходниками полностью правомерен.
                      +1
                      Лицензия GPL с вами не согласна. Так как они поставляют бинарник, они по лицензиии обязаны поставлять и исходник. Даже если ничего не меняли, и даже если скачали готовый бинарник с kernel.org и поставляют его в первозданном виде.
                        +1
                        Где-то я читал конкретно про такую ситуацию, но ссылку сейчас уже не найду. Там было особо подчёркнуто, что если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов. Собственно, что такое "обязаны поставлять"? Предположим, я собрал программу и дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код. Нигде не сказано, что оба урла обязаны вести на один и тот же сервер.
                          +1
                          дал урл, по которому можно получить эту программу, и другой урл, по которому лежит исходный код.

                          Когда писалась GPL2, гитхаба еще не было, и связь была не такой надежной. Поэтому в лицензии был сделан отдельный упор на то, что лицо (физическое или юридическое), распространяющее бинарник, обязано предоставить исходники самостоятельно, а не отсалать пользователя к другим физическим или юридическим лицам. Посылая пользователя на kernel.org вы фактически нарушаете этот пункт лицензии.

                          если использованные исходники где-то публично доступны, то необязательно копировать их к себе и выкладывать со своих серверов.

                          В GPL-3 учли появление гитхаба и других подобных сервисов и разрешили давать ссылку на репозитарий, контролируемый третьей стороной, для популярных проектов (при этом, если автор проекта удалил свой репозитарий, а вы не сохранили у себя копию исходников и не можете их достать откуда-то еще, вы все равно лишаетесь возможности распространять бинарник).
                          Ядро на GPL-3 не перешло и не перейдет в ближайшем будущем.
                            0
                            Понятно, спасибо за поправку. Заглянул в текст GPL, похоже, вы правы. Правда, там написано, не обязательно сразу предоставлять, достаточно письменного обещания выдать код по требованию. Но, подозреваю, BMW такого обещания тоже не предоставила.
                              0
                              Именно так. Причем код вы обязаны предоставить только тем, кому до этого предоставили бинарник. BMW, как я понял из статьи, получила требование от пользователей бинарной выдать код и отказалась его выполнять.

                                0
                                бинарной

                                бинарной прошивки
                  0
                  Есть ещё такая весёлая лицензия, к слову, как A-GPL (безотносительно к вышесказанному).
                    +1
                    Это же тоже самое, только допиленное для использования в веб-сервисах?
                      0
                      С небольшим дополнительным условием. Если на примере:

                      Если сайт использует http-сервер, лицензированный под AGPL, то на этом сайте должна быть возможность скачать исходники этого http-сервера (в точности той версии, которая там сейчас работает).

                      Для сравнения, если сайт использует http-сервер, лицензированный под GPL, он никому ничего не должен.
                        0
                        Это «небольшое дополнительное условие», вообще-то, и было целью создания AGPL :-)
                          0
                          Это на случай, если будет юзаться какой-то фреймворк по типу node.js (знаю, что не фреймворк, но в вебе не больно идеально разбираюсь)
                            +1
                            Никто в здравом уме не станет лицензировать веб-сервер или веб-фреймворк под AGPL.

                            Допустим, Хабрахабр решит открыть свои исходники. Если они сделают это под GPL, то кто-нибудь может взять их и использовать у себя. Поскольку сама программа вам не дается (только результат ее выполнения, т.е. веб-страница), то раскрывать исходники вам откажутся. Если исходники сайта будут лицензированы под AGPL, то тогда можно требовать их раскрытия.
                              0
                              Огромное количество комерческого серверного софта имеет открытую урезанную версию под AGPL.

                              С одной стороны, это привлекает новых пользователей, которые вот прям сразу могут взять и начать пользоваться. Можно, например, взять и развернуть AGPL CRM для бизнеса внутри компании, и даже менять ее, не предоставляя исходники сообществу.

                              C другой стороны, сторонняя компания, не может внезапно взять свободный код, допилить фичи из коммерческой версии и начать ими торговать. Или например нельзя развернуть модифицированное облачное решение, исходники придется предоставлять каждому внешнему клиенту.

                              Так, что фреймворк или движок какой вполне может быть залицензирован под AGPL.
                    +3
                    Эта прошивка — явно не одна отдельная пользовательская программа, которая может быть просто слинкована с glibc (и не подчиняться GPL). Здесь весь или большая часть какого-то дистрибутива линукса, включая ядро, systemd, glibc и прочее. То есть они обязаны выдать исходники для сборки всего этого добра, хотя часть своих программ (те, которые написаны ими самими, без вставки кода из GPL программ) — могут дать в виде объектных файлов для линковки.
                      0
                      тогда все компании использующие линукс как основу для закрытой экосистемы должны выдавать свои прошивки, а нет, не тут то было… взять тот же микротик основан на линухе, а закрытая система и таких примеров множество.
                        0
                        http://www.mikrotik.com/downloadterms.html
                        To get a CD with the corresponding source code for the GPL-covered programs in this distribution, wire transfer $45 to MikroTikls SIA, Pernavas 46, Riga, LV-1009, Latvia. Please contact MikroTikls SIA for our current account information and wire transfer instructions. Offer valid for three years from the date of distribution of this software. This CD will only include the source code of the following programs and any non-proprietary programs distributed according to license requirements. This CD will not include MikroTikls proprietary SOFTWARE.

                      +2
                      Дело о нарушении GPL компанией VMWare в отношении кода ядра Linux сейчас рассматривается в Германии, вынесение приговора намечено на май этого года.
                      +7
                      «Для доступа на сайт загрузки программного обеспечения вы должны были предоставить семизначный VIN и принять условия пользовательского соглашения. Часть условий пользовательского соглашения гласит, что ПО находится под охраной авторского права и BMW является его единственным владельцем. Так что в этом случае оно не подпадает под действие требований «общественной» лицензии».

                      Интересный подход.
                      Таким образом, раз ты нажал ПЕРЕД получением файла, что признаёшь его чьей-то собственностью и после получения узнал, что он таковой не является, то ты не можешь их обвинить в том, что это чужая собственность, так как подписал какую-то их записюльку?

                      По мне, так это попахивает мошенничеством.

                      Я вот сейчас напишу при входе на сайт, что чтобы войти на сайт, всем надо согласиться, что всё, что на сайте — моё.
                      Все согласятся, а я там Мону Лизу продаю, а чего.

                      Мой сайт, моё "авторское право", и плевать что картина принадлежит Франции, как таковая ...
                        0
                        Это надо делать нескольким людям: один нажимает «согласиться», а второй пишет это (а также себя, т. к. так легче будет доказать, что снимал не тот, кто соглашался) на камеру… И можно нормально подавать иск без отказа в виде «вы подписали нашу записюльку».
                          +5
                          На трекерах при регистрации не помешает пункт "я не являюсь нотариусом, судьёй, полицией или производителем какого бы то ни было контента".
                            +2
                            или производителем какого бы то ни было контента
                            Правообладатели будут упирать на юридическую ничтожность данного пункта, поскольку ни один человек на Земле не удовлетворяет данному критерию.

                            Нарисовал кота на уроке рисования во 2 классе? Всё, производитель контента.
                              0
                              Правильней ему было сказать «производитель контента с несвободной лицензией»
                                +1
                                Кот, нарисованный во 2 классе, не опубликован под свободной лицензией с вероятностью 99.9%.
                                По умолчанию (если автор не указал иное) на произведение распространяется строгий копирайт.
                                  0
                                  У кота, нарисованного во втором классе, нет лицензии, а также будущего, т. к. его вряд-ли опубликуют.
                                  +1
                                  а если я являюсь производителем контента с несвободной лицензией?
                                  — программный код как на гитхабе так и написанный для работодателя и где не было речи про ни про какие открытые лицензии но про служебное задание и так далее что нужно для корректной передачи прав работодателю тоже речи не было.
                                  — опубликованная книжка на СИ (там тоже про свободную в смысле GPL лицензию речи не было, читать можно, копировать… с моей стороны разрешения нет (запрета правда тоже нет), модификация… я обижусь. сильно. потому что это будет классический плагиат.

                                  и что — мне теперь нельзя на трекеры ходить которые такое в правила введут?
                                +5
                                Я видел американские трекеры с подобным пунктом в правилах. Их уже нет…
                                  0
                                  >или производителем какого бы то ни было контента
                                  а вот это зачем? смысла особого нет. нотариусы и судьи тоже хотят раздавать и качать быть может. контент, находящийся в PD вполне законно каким угодно способом распространять и приобретать.

                                  А полицаи будут говорить, что брали на живца и в ОПГ, тоже проверяют не полицай ли ты…

                                  Смысла ноль целый ноль десятый. Зато конечно круто — придумали очередной пункт при регистрации. Поздравляю, вы «производитель контента» — не ходите на торренты, не ваше это.
                                    0
                                    Я хз как в других странах, но в нормальных странах локальные пункты правил (сайты, организации, еще невесть какая ерунда) не могут быть выше чем законы в этой стране и не могут ограничивать свободу.
                                    Возможно в сша или австралии наоборот, но в европе точно так.

                                    Так что для локального поведения на ресурсе/в_магазине/в_компании они работают, но они не могут отнимать то, что человеку предоставлено по закону. И если авторство за Васей, а у Пети после скачивания програмки указано, что скачавший признает Петю как автора, Вася спокойной идет в суд.
                                      0
                                      Никто не отнимает авторства у Васи.
                                        0
                                        Так они вообще болт положили на GPL.
                                      0
                                      или производителем какого бы то ни было контента

                                      Даже если я самолично пришёл выложить своё творение в открытый доступ?
                                      Тогда уж лучше

                                      или правообладателем, не являющимся производителем контента

                                      Потому что проблемы в большинстве случаев приносят правообладатели, а не производители контента.
                                        0
                                        Ок, ок "информация на сайте не может быть использована в качестве улики против нашего сайта, заходя вы соглашаетесь что вам есть 51 год, и у вас нет глаз, чтобы увидеть какую-либо противоправную информацию, нет рта чтобы кому-либо рассказать о том что вы не увидели и нет рук чтобы написать. Приятного нахождения на нашем ресурсе!"
                                    0
                                    Пока идет тяжба они перепишут прошивку. Привет, гугл
                                    • UFO just landed and posted this here
                                        0
                                        Да, на бмв, ауди и мерседес вполне себе может стоять и QNX от Blackberry, согласно прессе имеется договор между тройкой автопроизводителей и блэкберри, с 2015 года. А тесное сотрудничество было и ранее.
                                        (Blackberry владеет уже лет 5-6 системой QNX,
                                        их операционная система Blackberry 10 для мобильных телефонов полностью базируется на легендарной QNX, кьюникс,
                                        операционной системе реального времени, которая как западная система в свое время была под правительственным запретом экспорта технологий в страны СЭВ\Варшавского блока).
                                      0
                                      Обычная жадность корпораций. Открыв исходники ничего страшного не произойдет. Кто может и хочет взломать их машины, он это и так сделает, а собрать из исходников, для многих это геморрой. Люди он обычные deb и rpm пакеты ставить не умеют. На халяву взять все любят, а вот поделиться могут лишь единицы.
                                        0
                                        Так они не людей боятся, а конкурентов. Сейчас, даже если конкуренты отреверсят прошивку, использовать её в своих системах они не смогут — это незаконно, и в случае такой попытки их можно засудить.
                                        А теперь представьте, что код свободен. Конкуренты просто сэкономят на разработке и выпустят свою продукцию дешевле.
                                          0
                                          Открытый код != Код можно использовать как угодно.
                                        +2
                                        Они обнаружили обильное количество упоминаний systemd и freedesktop.
                                        Для софта, управляющего автомобилем, нет никакого смысла изменять ни X-сервер с библиотеками, ни тем более systemd.
                                        Весьма вероятно, что они используют неизменённую версию.

                                        Что до графических библиотек (Cairo и т.п.), то они лицензированы под LGPL, а не под GPL.
                                        LGPL не требует, чтобы использующая библиотеку программа была свободной.
                                          +2
                                          Ну вот и проверим — что там из свободного, а что — нет, пусть выложат исходники для сборки прошивок (с бинарниками их лично написанных программ).
                                            +1
                                            Так они присылают по запросу. Просто BMW — это большая организация. И для такого рода операций у них существует специально обученные люди. К сожалению, саппорт из колл-центра этого не знал.
                                          +3
                                          Запасаемся попкорном — D-Link, вроде, 2 года пинали/мурыжили…
                                          https://en.wikipedia.org/wiki/Gpl-violations.org
                                            +3
                                            Поскольку система работает под Linux, то разработчик должен соблюдать условия лицензии GPL

                                            Что тут можно сказать кроме упоминания имени автора новости?
                                              0
                                              Вообще, новость попахивает желтизной. Почему?
                                              Здесь все просто. Несмотря на наличие 3g-модуля в автомобиле, производитель НИГДЕ не заявлял о возможности OTA-обновления ПО, на данный момент сие находится в разработке. Обновление через usb-разъем касается телефонного модуля или HU. Оно действительно появилось в 2010м году, и необходимо лишь для улучшения работы вышеупомянутых железок с девайсами владельца авто (читай, телефонами и медиаплеерами), которые обновляются куда чаще, чем HU автомобилей. Отсюда же требования ввода VIN-кода на сайте: у BMW порядка 7 возможных вариантов прошивок (это лишь привязка к железу без учета привязки к версии ПО) и VIN здесь нужен для определения необходимого для пользователя файла с обновлением. Про галочку с лицензионным соглашением я вообще молчу.

                                              Only users with full accounts can post comments. Log in, please.