Raspberry Pi Foundation potajno je instalirao Microsoftovo spremište

Prije nekoliko dana objavljena je vijest da je u sklopu nedavnog ažuriranja u Raspberry OS-u, Raspberry Pi Foundation instalirao je Microsoft spremište na svim računarima sa jednom pločom koji su mu vjerovali, bez znanja njihovih vlasnika.

Manevar nije prošao nezapaženo u zajednici Linuxa koji se usprotivio nedostatku transparentnosti i telemetrije i korisnicima Raspberry Pi ploča razgovaraju o uključivanju poziva u Microsoft repozitorij na Raspberry Pi OS, plus dodatak Microsoft GPG ključa za pouzdanu instalaciju paketa.

Microsoftovo spremište dodaje paket raspberrypi-sys-mods, koja uključuje skripte i postavke specifične za operativni sistem.

Konfiguracija /etc/apt/sources.list.d je izmijenjena skriptom post-inst i koristi se za konfiguriranje razvojnog okruženja VSCode. Glavne tvrdnje odnose se na činjenicu da su Microsoftovo spremište i ključ dodani bez upozorenja korisnika.

Ideja dodavanja Microsoft apt spremišta je olakšati upotrebu razvojnog okruženja Visual Studio Code.

Službeno je to zato što podržavaju Microsoftov IDE (!), Ali dobit ćete ga čak i ako ste ga instalirali iz jasne slike i koristili svoj Pi bez glave bez GUI-ja. To znači da svaki put kada napravite "odgovarajuće ažuriranje" na Pi-u, pingujete Microsoft server.

Oni također instaliraju Microsoft GPG ključ koji se koristi za potpisivanje paketa iz tog spremišta. To potencijalno može dovesti do scenarija u kojem ažuriranje povlači zavisnost iz Microsoft repozitorija i sistem će automatski vjerovati tom paketu.

Instalacija spremišta vrši se tiho, bez pristanka korisnika, a Raspberry Foundation nije pripremio korisnike za takvu promjenu putem namjenskog bloga.

Iznervirani korisnici komentiraju da eOvo ponašanje je opasno iz dva razloga:

Prvo, kad god se informacije o spremištima ažuriraju prilikom instaliranja ili ažuriranja paketa, upravitelj paketa anketira sva povezana spremišta, tj.Microsoft server akumulira informacije o IP adresama svih korisnika Operativni sistem Raspberry Pi, koji se može koristiti za stvaranje korisničkog profila.

Sličan profil može se koristiti, na primjer, za ciljano oglašavanje kada se prijavljujete na Microsoftove usluge s iste IP adrese.

Drugo, Microsoftovo spremište povezano je kao potpuno pouzdano, uprkos činjenici da nije pod kontrolom programera operativnog sistema Raspberry Pi i od korisnika se nije tražila potvrda za dodavanje Microsoft GPG ključa. Ako je Microsoftova infrastruktura ugrožena putem takvog spremišta, lažna ažuriranja mogu se distribuirati kako bi se zamijenili standardni paketi ili zamijenile zavisnosti.

Čak to i nastavlja

Ovo je način na koji neprestano radite stvari "zbog sličnih problema", a da ne obavještavate vlasnike svoje linije računara sa jednom pločom. »Korisnici su podsjetili na napetosti između Linuxa i Microsofta zbog telemetrije.

Na kraju, napominje se da problem ne utječe na distribuciju Raspbian koju podržava zajednica, promjena se dodaje samo na Raspberry Pi OS, varijantu Raspbiana koju održava Raspberry Pi Foundation.

Drugi pristup je blokiranje Visual Studio koda ako želite i dalje koristiti OS Raspberry Pi. Visual Studio Code opremljen je opcijama telemetrije, pa mnogi korisnici Visual Studio Codium smatraju prikladnijim.

Da biste eliminirali pristup Microsoftovim serverima u operativnom sistemu Raspberry Pi, jednostavno komentirajte sadržaj datoteke /etc/apt/sources.list.d/vscode.list i izbrišite ključ / etc / apt / trusted. Gpg.d / microsoft .gpg.

Takođe, "127.0.0.1 пакеti.microsoft.com" mogu se dodati u / etc / hosts za blokiranje zahtjeva.

Na kraju, ako ste zainteresirani da saznate više o tome, možete se posavjetovati sljedeći link. 


Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.