qrios

Vor wenigen Tagen kam die Agenturmeldung, dass die beste Zeit für eBook-Reader mit ePaper bereits vorbei sei und sie ihren Platz an billige Tablets auf der Basis von Android abtreten müssen. Also höchste Zeit, sich ein Exemplar dieser aussterbenden Gattung zu besorgen und sich genauer anzusehen.

Cybook Odyssey von Bookeen (Thalia)

Die Firma Bookeen bietet mehrere Cybook-Varianten an. Die Version mit Beleuchtung gab es in dem Thalia-Laden grade nicht daher wurde es die einfachere Cybook Odyssey Ausführung. Sie verfügt über einen Touch-Screen und ist mit 2GByte internem Speicher ausgestattet. Ein Mirco-SD-Kartenslot und ein Micro-USB-Anschluss dient dem Transfer der Daten.

Trotz fehlender Beleuchtung ist Text gut zu lesen. Allerdings sollte man beim Kauf im Laden bedenken, dass es dort meistens eine wesentlich heller ist. In schummrigen Ecken geht es ohne zusätzliche Beleuchtung nicht mehr.

Das System ist nur minimal auf Thalia gebrandet. Bis auf den voreingestellten Web-Shop findet sich kein Hinweis – selbst in den Hilfedokumenten – auf den Buchhändler. Für die Einrichtung des Gerätes und das Lesen gekaufter Bücher ist entweder ein WLAN-Zugang oder ein Windows-/Mac-PC notwendig. Andernfalls kann man nur eBooks und PDFs lesen, die von DRM befreit sind.

Nightmare DRM

Damit gekaufte Bücher auf dem Gerät gelesen werden können, muss das Gerät autorisiert werden. Bei dem Thalia-Einrichtungsprozess funktioniert das eigentlich relativ reibungslos. Es sei denn, man hat mit der angegebenen EMail-Adresse bereits eine Adobe-ID oder man hat ein Passwort gewählt, das Adobe nicht gefällt. Spätestens hier dürften die meisten Nutzer verunsichert aussteigen.

<ironie>Falls man sein Passwort für die Adobe-ID vergessen hat, empfiehlt es sich, das Gerät in den Werkszustand zurückzusetzen. Dann kann man in den Online-Store gehen und gibt sein Thalia-Login ein. Danach nämlich ist die Anmeldungssoftware so nett, einem das Passwort der Adobe-ID im Klartext anzuzeigen.</ironie>

Irgendein Server zwischen Gerät und Adobe speichert das Passwort für die Adobe-ID im Klartext. (Übrigens die gleiche ID, die für die Adobe-Cloud verwendet wird.)

D.h. an mindestens einer Stelle ist das Passwort als Plaintext gespeichert. Es dürfte sehr unwahrscheinlich sein, dass der Fehler auf Adobes Seiten liegt. Tatsächlich dürfte Thalia oder der DRM-Provider bei Bookeen Schuld sein und das Passwort in Kombination mit der ID speichern. Abgesehen von den dadurch entstehenden unvorhersehbaren Sicherheitslöchern – groß wie Scheunentore™ – dürfte dieses Vorgehen weder im Interesse von Adobe noch der Nutzer sein.

Mit Hilfe des Thalia-Shops kann jeder Angreifer mit einem Cookie-Klau – etwa über ein kompromittiertes WLAN – auch gleich an die Daten bei Adobe kommen. Denn bei dem Shop kann man mit einem eingeloggten Browser (natürlich funktioniert der Cookie auch ohne https … ) nicht nur ein neues Passwort setzen, sondern im gleichen Schritt auch die EMail-Adresse ändern. Mit einem simplen Script liesse sich so Einblick in die persönliche Bibliothek gewinnen. Abgesehen davon, dass diese auch gleich gelöscht werden könnte oder sämtliche autorisierte Geräte gelöscht werden können.

Es drängt sich der Eindruck auf, dass sich hier zwei Partner – Thalia und Bookeen – gefunden haben, von denen mindestens einer nicht weiß, was er tut. Und Adobe hat offensichtlich keine Ahnung, was seine Kunden da treiben. Deren AGBs sollten sie jedoch nicht von der nötigen Aufsichtspflicht entbinden. Letztlich fallen solche Sicherheitslücken auf Adobe selbst zurück.

Fazit

Wäre man in der Lage über die Sicherheitslöcher hinwegzusehen, bleibt als Fazit dennoch, dass sich eBook-Reader auf der Basis von Adobe-DRM nicht durchsetzen können. Sie sind für den DAU schlicht nicht zu verwenden. Woher soll er beispielsweise wissen, wie man ein in einem anderen Shop gekauftes Buch auf seinen Reader bekommt. Denn beim Kauf bekommt man lediglich eine ACSM-Datei zum Download angeboten. Diese “Adobe Content Server Message” ist nur ein Token, das man danach mit einem Programm mit dem sprechenden Namen “Adobe Digital Editions” aktivieren muss. Erst dann wird das Buch geladen. Dort kann man es dann auf den mit USB angeschlossenen Reader schieben.

Dieser Aufwand ist vor allem deswegen nicht zu verstehen, weil man als Nutzer, der das geschafft hat auch in der Lage ist, sich Tools zum Befreien der eBooks von dem lästigen DRM laden kann. Für den Mac gibt es beispielsweise AdobeDrmRemoval. In einem schnellen Test befreite es erfolgreich Neal Stephensons “Error” (engl. “Readme”) vom DRM.