Ja fa diversos dies es va donar a conèixer la notícia que com a part d'una recent actualització en Raspberry US, la Fundació Raspberry Pi va instal·lar un repositori de Microsoft en tots els ordinadors de placa única que confiaven en ell, sense el coneixement dels seus propietaris.
La maniobra no ha passat desapercebuda dins de la comunitat de Linux que s'està intensificant per oposar-se a la falta de transparència i telemetria i els usuaris de plaques Raspberry Pi estan discutint la inclusió d'una crida a l'repositori de Microsoft en Raspberry Pi US, a més de l'addició d'una clau GPG de Microsoft per a la instal·lació fiable de paquets.
El repositori de Microsoft s'agrega mitjançant el paquet Raspberry Pi-sys-mods, Que inclou scripts i configuracions específiques de sistema operatiu.
La configuració de /etc/apt/sources.list.d es modifica mitjançant l'script post-inst i s'utilitza per configurar l'entorn de desenvolupament de VSCode. Les principals afirmacions estan relacionades amb el fet que el repositori i la clau de Microsoft es van agregar sense advertir els usuaris.
La idea darrere d'afegir el repositori apt de Microsoft és facilitar l'ús de l'entorn de desenvolupament de Visual Studio Code.
Oficialment és perquè donen suport l'IDE de Microsoft (!), Però el obtindràs fins i tot si ho has instal·lat des d'una imatge clara i fas servir la teva Pi sense cap sense una GUI. Això significa que cada vegada que realitza una «actualització de apt» en la seva Pi, està fent ping a un servidor de Microsoft.
També instal·len la clau GPG de Microsoft que es fa servir per signar paquets des d'aquest repositori. Això pot conduir potencialment a un escenari en el qual una actualització extregui una dependència de l'repositori de Microsoft i el sistema confiaria automàticament en aquest paquet.
La instal·lació de l'repositori es realitza de forma silenciosa, sense el consentiment de l'usuari i la Fundació Raspberry no va preparar als usuaris per tal canvi a través d'una publicació de bloc dedicada.
Els usuaris molestos comenten que iquest comportament és perillós per dues raons:
Primer, sempre que la informació dels repositoris s'actualitza a l'instal·lar o actualitzar paquets, l'administrador de paquets sondeja tots els repositoris connectats, és a dir, il servidor de Microsoft acumula informació sobre les adreces IP de tots els usuaris de sistema operatiu Raspberry Pi, que es pot utilitzar per crear un perfil d'usuari.
Un perfil similar es pot utilitzar, per exemple, per a publicitat dirigida a l'iniciar sessió en els serveis de Microsoft des de la mateixa IP.
En segon lloc, el repositori de Microsoft està connectat com totalment fiable, Tot i el fet que no està sota el control dels desenvolupadors de sistema operatiu Raspberry Pi i no es va sol·licitar als usuaris confirmació per afegir la clau GPG de Microsoft. Si la infraestructura de Microsoft es veu compromesa a través d'aquest repositori, és possible distribuir actualitzacions falses per reemplaçar paquets estàndard o substituir dependències.
Fins i tot continua dient que
Aquesta és la forma en què fa les coses tot el temps «per problemes similars» sense informar els propietaris de la seva línia d'ordinadors de placa única. »Els usuaris han recordat les tensions entre Linux i Microsoft sobre la telemetria.
Finalment s'observa que la distribució Raspbian recolzada per la comunitat no es veu afectada pel problema, el canvi només s'afegeix a Raspberry Pi OS, una variant de Raspbian mantinguda per Raspberry Pi Foundations.
Un altre enfocament és bloquejar Visual Studio Code si vol continuar utilitzant Raspberry Pi OS. Visual Studio Code està equipat amb opcions de telemetria, de manera que molts usuaris consideren que és més apte fer ús de Visual Studio Codium.
Per eliminar l'accés als servidors de Microsoft en el sistema operatiu Raspberry Pi, simplement s'ha de de comentar el contingut de l'arxiu /etc/apt/sources.list.d/vscode.list i eliminar la clau / etc / apt / trusted. gpg.d / microsoft.gpg.
A més, es pot afegir «127.0.0.1 packages.microsoft.com» a / etc / hosts per bloquejar sol·licituds.
Finalment, si estàs interessat en conèixer més a l'respecte, Pots consultar el següent enllaç.