ACM通信
法律上来说
苹果对虚拟化软件的挑战
图片来源:Alicia Kubista / Andrij Borys Associates
Corellium开发了一款名为CORESEC的软件产品,该产品使安全研究人员能够创建苹果iOS的虚拟版本,研究代码的功能和可能的漏洞。2018年年中,苹果高管对CORSEC印象深刻,甚至提出要收购该公司。Corellium拒绝了这一提议。然而,一年后,苹果起诉Corellium侵犯版权,因为Corellium的客户使用CORSEC研究iOS时,Corellium的产品在与iOS交互的过程中复制了iOS软件。
2020年12月,Corellium说服了佛罗里达州的一名联邦审判法院法官,称它合理使用了苹果的软件。苹果公司已经对公平使用的裁决提出上诉。
本专栏解释了为什么我相信审判法庭的合理使用裁决是合理的(这就是为什么我是知识产权教授们支持Corellium的法庭之友摘要的签署人)。它还简要回顾了另外两份法庭之友陈述书中支持Corellium的论点。
Corellium的产品
Corellium开发了CORSEC,使安全研究人员能够研究苹果iOS软件的工作原理,检测漏洞和漏洞,并为他们自己的开发项目提供信息。CORSEC允许Corellium的授权用户使用iOS文件创建定制的虚拟iphone模型,他们可以免费或不受苹果网站的许可限制地下载这些文件。
Corellium授权一个版本的CORSEC在其服务器上的云上在线使用。该软件的第二个版本允许授权用户在Corellium提供的硬件上使用虚拟化的iOS软件,该硬件被授权方在自己的场所使用。
由于Corellium认识到CORSEC的一些潜在用户可能会将其用于不法目的,该公司已经建立了一个审查程序,以确定其直接销售给的潜在用户的真诚。Corellium保留权利和权力终止用户的在线版本的软件,如果他们滥用它。它的上诉摘要证明,它已经终止了一些滥用CORSEC的用户。
当CORSEC的用户下载苹果iOS时,CORSEC会动态解包这些文件,以便创建一个用于安全研究的虚拟iOS。CORSEC提供了一些工具,用户可以使用这些工具查看和暂停iOS运行的进程,修改内核,查看系统调用,并实时快照iOS操作。
Corellium的客户包括安全研究人员、私人公司、联邦机构和国防承包商。
何谓合理使用?
在美国,合理使用是对侵犯版权指控的一种辩护。为了评估被质疑的对受版权保护作品的使用是否公平或不公平,《美国法典》(17 U.S.C.§107)要求法院考虑四个非排他性因素:被质疑使用的目的和性质;受版权保护作品的性质;使用的数量和实质;以及被质疑的使用将对受版权保护作品的市场或价值产生的影响。
在法定的合理使用目的中,研究和学术是受青睐的。当被告对原告的作品进行了法院所称的“变革性”使用时,法院也倾向于支持合理使用,这包括为了不同于原作者的目的复制原告的作品。变革性使用比非变革性使用更可能公平,非商业使用比商业使用更受青睐。但是,如果使用是变革性的,被告的使用的商业性可以减轻。
工作性质因素一般集中在原告工作的表达程度。艺术和幻想的作品往往具有高度的表现力,因此通常很难赢得涉及此类作品的合理使用辩护。相比之下,事实密集型和高功能性的作品往往具有较少的表达性内容。因此,在涉及此类作品的案件中,合理使用可能更容易成立。
法院从数量和质量两个方面来看待被告从原告的工作中获得的数额。然而,如果被告的改造目的是合理的,复制他人的全部作品可能是合理的使用,就像有人对软件进行逆向工程以辨别其界面一样。
当原告和被告的作品在同一或相近的市场竞争时,被告对原告作品的复制很可能会对该作品的市场产生负面影响。当被告在一个完全不同的市场上使用原告的部分或全部作品时,这往往有利于合理使用。
苹果的声明
苹果声称,CORSEC经常出于商业目的复制iOS软件,只是将iOS软件移植到另一种媒体上。此外,CORSEC完全复制了苹果所称的极具创意的iOS软件,以及iOS在CORSEC系统内运行时所显示的彩色图标和壁纸。苹果公司声称图标和壁纸是iOS软件的独立版权部分。
苹果辩称,这种抄袭行为损害了苹果的市场,因为苹果已经为安全研究人员定制的iOS软件开发了一个授权市场。该公司还开发了一款iOS模拟器产品,使安全研究人员能够研究iOS软件。它进一步声称CORSEC与该软件存在不公平竞争。此外,苹果认为,如果Corellium继续在CORSEC中利用iOS,这将与苹果即将推出的Xcode云产品竞争,后者提供了CORSEC的虚拟化选择。Corellium因此“削弱了开发者加入苹果开发者计划(Apple Developer Program)并支付费用的强烈动机,苹果通过该计划发行iOS模拟器,并计划通过Xcode云发行iOS。”
苹果注意到,CORSEC可能会被用于不法目的和安全研究以外的目的。虽然一些合法的安全研究人员可能会使用CORSEC,但苹果指出,Corellium将CORSEC推广为一种工具,通过它,客户可以开发“漏洞”,利用iOS的安全漏洞,并将这些漏洞出售给出价最高的人。苹果进一步抱怨Corellium没有要求其授权方向苹果报告安全漏洞。
Corellium国防
Corellium认为,CORSEC的目的与苹果当初开发用于iphone的iOS软件时截然不同,因此,它具有“变革性”的目的。例如,在虚拟状态下,人们无法用iOS软件打电话、发短信或拍照。CORSEC“允许研究人员观察iOS功能的细节,从而了解它是如何工作的,以及它可能存在的漏洞。”
因为iOS软件功能强大,而CORSEC使用它只是为了让客户了解它的功能,Corellium认为,工作性质因素支持其合理使用辩护。
Corellium指出,它实际上并没有复制iOS软件。相反,当用户从苹果下载iOS软件,然后使用CORSEC虚拟化该软件来研究iOS功能时,他们就会这么做。然而,即使假设Corellium确实复制了苹果的软件,这样做对“正确测试和了解真正的iPhone在终端用户手中的表现”也是必要的。这包括研究图形界面图标和墙纸,因为“漏洞可能而且确实会在意想不到的地方出现”。
至于对市场的损害,Corellium强调所有版本的iOS软件都可以免费下载,没有许可证限制。CORSEC完全不与iOS竞争。向安全研究人员提供CORSEC不会对iOS软件的市场或价值产生任何影响。此外,由于CORSEC的目的与iOS截然不同,法院只考虑被告的作品是否取代了对原始作品的需求。CORSEC不会这样做。
苹果已经开发或正在开发其他支持iOS软件虚拟化的产品,这与此无关。只有被复制作品的市场与Corellium的合理使用辩护相关。“如果苹果生产的其他产品与CORSEC具有同样的变革目的,那只是意味着苹果选择在一个不同的市场与Corellium竞争,在这个市场,苹果没有合法的垄断地位。”
虽然苹果暗示Corellium鼓励非法使用CORSEC,但它并没有提供证据证明这种滥用是由CORSEC用户造成的。当然,CORSEC的用户可以开发出可以出售给第三方的漏洞,但这些漏洞“也可以卖给苹果公司自己而获利”。
苹果已经开发或正在开发其他支持iOS软件虚拟化的产品,这与此无关。
Corellium还认为CORSEC有公共利益。Corellium认为,苹果自己无法找到iOS软件中的所有漏洞。在某种程度上,CORSEC被用来识别漏洞,苹果可以修复,它有有益的用途。此外,“第三方安全研究还能增强公众和开发者对(苹果)平台的信心,从而鼓励开发者在生态系统中投资。”
初审法庭发现科雷利姆的合理使用辩护在所有方面都有说服力。
法庭之友的简要声明
除了前面提到的知识产权法庭之友(法庭之友)教授的简报外,一组计算机安全研究人员也提交了一份简报支持Corellium,加强了Corellium简报中的论点。
此外,一名计算机科学家(CS)法庭之友简要介绍了虚拟化现有软件的能力所带来的许多好处。本文将虚拟化作为一种“基本工具”,自20世纪60年代以来就被广泛接受为一种有益的技术。虚拟化“不仅用于创建虚拟手机,还用于实现云计算,提高硬件效率,允许跨平台软件使用,并测试系统的安全性。”
CS简介说,虚拟化是一个成熟的行业,通常涉及三个参与者:被虚拟化的软件的制造商、虚拟化工具的开发者,以及使用工具来研究虚拟化软件的最终用户。通常,被虚拟化的软件的开发人员没有授予虚拟化发生的权限。
虚拟化软件的目的是“在现有功能的基础上构建新的功能”。CS简报说,有必要利用整个工作来虚拟化软件。”软件的虚拟化版本不能替代或与未虚拟化版本竞争。
CS的这位朋友声称,如果上诉法院在Corellium案中做出有利于苹果的裁决,“将给整个虚拟化领域带来法律上的不确定性,并威胁到多个研究和产业领域。”
美国反垄断研究所与十多位知识产权和反垄断学者一起,提交了一份法庭之友陈述书,支持Corellium。这份简报敦促上诉法院驳回苹果对版权法的过度宽泛解释,因为这样做会切断Corellium和苹果在软件市场上的合法而有价值的竞争,这些软件是为了安全研究目的而实现iphone虚拟化。
反垄断简报指出,软件的存在为公共利益服务,使独立的安全研究人员能够执行他们的工作。同样符合公众利益的还有CORSEC等工具的存在,它可以让公众“越狱”iphone,这样他们的用户就可以从苹果应用商店以外的其他来源获取应用程序。这促进了应用市场的有益竞争和持续创新。
反垄断简报承认,“合理使用允许创作者在开发具有变革性的、服务于不同市场的新作品时,以现有作品为基础。”它还防止权利人“将其有限的专有权扩大到版权合法范围之外,并在此过程中过度限制竞争、限制创新和损害消费者”。
结论
我乐观地认为,上诉法院将确认对科雷利姆有利的裁决,特别是考虑到最高法院的2021年谷歌与甲骨文《决定》承认公平使用在促进软件产业竞争和创新方面的重要作用。谷歌决议强调了公平使用的作用,它是一种“基于上下文的检查,有助于将版权垄断限制在一定范围内”。它要求法院考虑被质疑使用的公共利益,而不仅仅是版权所有人的利益,因为版权所有人希望控制与他们的作品有不同目的的产品的开发。
数字图书馆是由计算机协会出版的。版权所有©2022 ACM股份有限公司
没有发现记录