For flere dage siden blev nyheden frigivet, at som en del af en nylig opdatering i Raspberry OS, Raspberry Pi Foundation installerede et Microsoft-lager på alle enkeltcomputere, der har tillid til det uden deres ejers kendskab.
Manøvren er ikke gået ubemærket hen i samfundet af Linux, der træder op for at modsætte sig manglen på gennemsigtighed og telemetri og brugerne af Raspberry Pi-kort diskuterer inkludering af et opkald til Microsoft repository på Raspberry Pi OS, plus tilføjelsen af en Microsoft GPG-nøgle til pålidelig pakkeinstallation.
Microsoft-arkivet tilføjes af pakken raspberrypi-sys-mods, som inkluderer operativsystemspecifikke scripts og indstillinger.
Konfigurationen af /etc/apt/sources.list.d ændres af post-inst-scriptet og bruges til at konfigurere VSCode-udviklingsmiljøet. Hovedkravene er relateret til det faktum, at Microsoft-lageret og nøglen blev tilføjet uden advarsel om brugerne.
Ideen bag at tilføje Microsoft apt-arkivet er at gøre det lettere at bruge Visual Studio Code-udviklingsmiljøet.
Det er officielt fordi de understøtter Microsofts IDE (!), Men du får det, selvom du har installeret det fra et klart billede og bruger din Pi uden hoved uden GUI. Det betyder, at hver gang du laver en "apt-opdatering" på din Pi, pinger du en Microsoft-server.
De installerer også Microsoft GPG-nøglen, der bruges til at underskrive pakker fra det arkiv. Dette kan potentielt føre til et scenarie, hvor en opdatering trækker en afhængighed fra Microsoft-arkivet, og systemet automatisk stoler på den pakke.
Depotinstallationen udføres lydløst uden brugerens samtykke, og Raspberry Foundation forberedte ikke brugerne til en sådan ændring gennem et dedikeret blogindlæg.
Irriterede brugere kommenterer, at eDenne adfærd er farlig af to grunde:
For det første, hver gang opbevaringsoplysningerne opdateres, når der installeres eller opdateres pakker, afstemmer pakkehåndtereren alle tilsluttede opbevaringssteder, dvs.Microsoft-serveren akkumulerer oplysninger om IP-adresserne for alle brugere Raspberry Pi-operativsystem, som kan bruges til at oprette en brugerprofil.
En lignende profil kan f.eks. Bruges til målrettet reklame, når du logger ind på Microsoft-tjenester fra samme IP.
For det andet er Microsoft-arkivet forbundet som fuldt pålideligt, på trods af at det ikke er under kontrol af Raspberry Pi-operativsystemudviklerne, og brugere blev ikke bedt om bekræftelse for at tilføje Microsoft GPG-nøglen. Hvis Microsofts infrastruktur er kompromitteret gennem et sådant lager, kan falske opdateringer distribueres for at erstatte standardpakker eller erstatte afhængigheder.
Han fortsætter endda med at sige det
Dette er den måde, du gør tingene hele tiden "for lignende problemer" uden at informere ejerne af din linje med enkelt bordcomputere. »Brugere har husket spændingerne mellem Linux og Microsoft via telemetri.
Endelig bemærkes det, at den Raspbian-distribution, der understøttes af samfundet, ikke påvirkes af problemet, ændringen føjes kun til Raspberry Pi OS, en variant af Raspbian, der opretholdes af Raspberry Pi Foundations.
En anden tilgang er at blokere Visual Studio-kode, hvis du vil fortsætte med at bruge Raspberry Pi OS. Visual Studio Code er udstyret med telemetriindstillinger, så mange brugere anser Visual Studio Codium for at være mere passende.
For at eliminere adgang til Microsoft-servere i Raspberry Pi-operativsystemet skal du blot kommentere indholdet af /etc/apt/sources.list.d/vscode.list-filen og slette / etc / apt / betroet nøgle. Gpg.d / microsoft .gpg.
Desuden kan "127.0.0.1 packages.microsoft.com" føjes til / etc / hosts for at blokere anmodninger.
Endelig hvis du er interesseret i at vide mere om det, kan du konsultere følgende link.