قبل عدة أيام ، نُشر الخبر بأنه كجزء من التحديث الأخير في نظام Raspberry OS ، قامت مؤسسة Raspberry Pi بتثبيت مستودع Microsoft على جميع أجهزة الكمبيوتر ذات اللوحة الواحدة التي تثق بها ، دون علم أصحابها.
لم تمر المناورة مرور الكرام داخل المجتمع لينكس التي تتقدم لمواجهة نقص الشفافية والقياس عن بعد ومستخدمي لوحات Raspberry Pi تناقش بما في ذلك استدعاء إلى مستودع مايكروسوفت على نظام Raspberry Pi OS ، بالإضافة إلى إضافة مفتاح Microsoft GPG لتثبيت الحزمة بشكل موثوق.
تمت إضافة مستودع Microsoft بواسطة حزمة raspberrypi-sys-mods، والتي تتضمن البرامج النصية والإعدادات الخاصة بنظام التشغيل.
تم تعديل تكوين /etc/apt/sources.list.d بواسطة البرنامج النصي post-inst ويستخدم لتكوين بيئة تطوير VSCode. تتعلق الادعاءات الرئيسية بحقيقة أنه تمت إضافة مستودع Microsoft والمفتاح دون تحذير المستخدمين.
تتمثل الفكرة وراء إضافة مستودع Microsoft apt في تسهيل استخدام بيئة تطوير Visual Studio Code.
هذا رسميًا لأنهم يدعمون IDE من Microsoft (!) ، لكنك ستحصل عليه حتى إذا قمت بتثبيته من صورة واضحة واستخدمت Pi الخاص بك بدون رأس بدون واجهة المستخدم الرسومية. هذا يعني أنه في كل مرة تقوم فيها بإجراء "تحديث مناسب" على Pi الخاص بك ، فأنت تقوم باختبار اتصال خادم Microsoft.
يقومون أيضًا بتثبيت مفتاح Microsoft GPG الذي يتم استخدامه لتوقيع الحزم من هذا المستودع. يمكن أن يؤدي هذا إلى سيناريو يسحب فيه التحديث تبعية من مستودع Microsoft ويثق النظام تلقائيًا في تلك الحزمة.
يتم تثبيت المستودع بصمت ، دون موافقة المستخدم ، ولم تقم مؤسسة Raspberry بإعداد المستخدمين لمثل هذا التغيير من خلال منشور مدونة مخصص.
منزعج من المستخدمين تعليق ههذا السلوك خطير لسببين:
أولاً ، عندما يتم تحديث معلومات المستودعات عند تثبيت الحزم أو تحديثها ، يقوم مدير الحزم باستقصاء جميع المستودعات المتصلة ، أي ،يقوم خادم Microsoft بتجميع معلومات حول عناوين IP لجميع المستخدمين نظام التشغيل Raspberry Pi ، والذي يمكن استخدامه لإنشاء ملف تعريف مستخدم.
يمكن استخدام ملف تعريف مشابه ، على سبيل المثال ، للإعلان المستهدف عند تسجيل الدخول إلى خدمات Microsoft من نفس عنوان IP.
ثانيًا ، يرتبط مستودع Microsoft بأنه جدير بالثقة تمامًا، على الرغم من حقيقة أنه لا يخضع لسيطرة مطوري نظام التشغيل Raspberry Pi ولم يُطلب من المستخدمين تأكيد إضافة مفتاح Microsoft GPG. إذا تم اختراق البنية التحتية لـ Microsoft من خلال هذا المستودع ، فيمكن توزيع التحديثات الوهمية لاستبدال الحزم القياسية أو استبدال التبعيات.
حتى أنه يذهب ليقول ذلك
هذه هي الطريقة التي تقوم بها بالأشياء طوال الوقت "لمشاكل مماثلة" دون إبلاغ مالكي خطك من أجهزة الكمبيوتر ذات اللوحة الواحدة. »لقد تذكر المستخدمون التوترات بين لينوكس ومايكروسوفت بشأن القياس عن بعد.
أخيرًا ، يُلاحظ أن توزيع Raspbian الذي يدعمه المجتمع لا يتأثر بالمشكلة ، ويتم إضافة التغيير فقط إلى نظام Raspberry Pi OS ، وهو أحد أنواع Raspbian التي تحتفظ بها Raspberry Pi Foundations.
هناك طريقة أخرى تتمثل في حظر Visual Studio Code إذا كنت تريد الاستمرار في استخدام نظام Raspberry Pi OS. تم تجهيز Visual Studio Code بخيارات القياس عن بعد ، لذلك يعتبر العديد من المستخدمين أن Visual Studio Codium أكثر ملاءمة.
لمنع الوصول إلى خوادم Microsoft في نظام التشغيل Raspberry Pi ، ما عليك سوى التعليق على محتوى الملف /etc/apt/sources.list.d/vscode.list وحذف / etc / apt / trust. gpg.d / microsoft .gpg.
أيضًا ، يمكن إضافة "127.0.0.1pack.microsoft.com" إلى / etc / hosts لحظر الطلبات.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك استشارة الرابط التالي.