Před několika dny byla vydána zpráva, že v rámci nedávné aktualizace v Raspberry OS nadace Raspberry Pi nainstalovala úložiště Microsoft na všech jednodeskových počítačích, které tomu důvěřovaly, bez vědomí jejich vlastníků.
Manéver nezůstal v komunitě bez povšimnutí Linuxu, který vystupuje proti nedostatku transparentnosti a telemetrie a uživatelům desek Raspberry Pi diskutují včetně volání do úložiště Microsoftu na Raspberry Pi OS, plus přidání klíče Microsoft GPG pro spolehlivou instalaci balíčku.
Repozitář Microsoft je přidán balíčkem raspberrypi-sys-mods, který zahrnuje skripty a nastavení specifické pro operační systém.
Konfigurace /etc/apt/sources.list.d je upravena skriptem po instanci a slouží ke konfiguraci vývojového prostředí VSCode. Hlavní tvrzení souvisí se skutečností, že úložiště Microsoft a klíč byly přidány bez upozornění uživatelů.
Myšlenkou přidání úložiště Microsoft apt je usnadnit používání vývojového prostředí Visual Studio Code.
Je to oficiálně proto, že podporují IDE společnosti Microsoft (!), Ale získáte ji, i když jste ji nainstalovali z čistého obrazu a používáte své Pi bez hlavy bez grafického uživatelského rozhraní. To znamená, že pokaždé, když na svém Pi provedete „trefnou aktualizaci“, pingujete na server Microsoftu.
Nainstalují také klíč Microsoft GPG, který se používá k podepisování balíčků z tohoto úložiště. To může potenciálně vést ke scénáři, kdy aktualizace vytáhne závislost z úložiště Microsoftu a systém by tomuto balíčku automaticky důvěřoval.
Instalace úložiště se provádí bezobslužně bez souhlasu uživatele a Raspberry Foundation nepřipravila uživatele na takovou změnu prostřednictvím vyhrazeného příspěvku na blogu.
Naštvaní uživatelé to komentují eToto chování je nebezpečné ze dvou důvodů:
Nejprve, kdykoli se při instalaci nebo aktualizaci balíků aktualizují informace o úložištích, správce balíčků dotazuje všechna připojená úložiště, tj. EServer Microsoft shromažďuje informace o IP adresách všech uživatelů Operační systém Raspberry Pi, který lze použít k vytvoření uživatelského profilu.
Podobný profil lze použít například pro cílenou reklamu při přihlášení do služeb Microsoftu ze stejné IP adresy.
Za druhé, úložiště Microsoft je připojeno jako plně důvěryhodné, a to navzdory skutečnosti, že to není pod kontrolou Raspberry Pi operačního systému, vývojáři a uživatelé nebyli požádáni o potvrzení přidání klíče Microsoft GPG. Pokud je infrastruktura společnosti Microsoft ohrožena prostřednictvím takového úložiště, lze distribuovat falešné aktualizace, které nahradí standardní balíčky nebo nahradí závislosti.
Dokonce to říká
To je způsob, jakým neustále děláte věci „pro podobné problémy“, aniž byste informovali majitele vaší řady jednodeskových počítačů. »Uživatelé si prostřednictvím telemetrie připomněli napětí mezi systémy Linux a Microsoft.
Nakonec je třeba poznamenat, že distribuce Raspbian podporovaná komunitou není problémem ovlivněna, změna je přidána pouze k Raspberry Pi OS, variantě Raspbian udržované Raspberry Pi Foundations.
Dalším přístupem je blokování Visual Studio Code, pokud chcete nadále používat Raspberry Pi OS. Visual Studio Code je vybaven možnostmi telemetrie, takže mnoho uživatelů považuje Visual Studio Codium za vhodnější.
Chcete-li vyloučit přístup k serverům Microsoft v operačním systému Raspberry Pi, jednoduše okomentujte obsah souboru /etc/apt/sources.list.d/vscode.list a odstraňte klíč / etc / apt / trusted. Gpg.d / microsoft .gpg.
Do souboru / etc / hosts lze také přidat „127.0.0.1 packages.microsoft.com“ a blokovat tak požadavky.
Konečně, pokud máte zájem o tom vědět více, můžete se poradit následující odkaz.