Vor einigen Tagen wurde die Nachricht veröffentlicht, dass im Rahmen eines kürzlich durchgeführten Updates in Raspberry OS Die Raspberry Pi Foundation hat ein Microsoft-Repository installiert auf allen Single-Board-Computern, die ihm vertrauten, ohne das Wissen ihrer Besitzer.
Das Manöver ist innerhalb der Community nicht unbemerkt geblieben von Linux, das sich verstärkt gegen den Mangel an Transparenz und Telemetrie und die Benutzer von Raspberry Pi-Boards stellt diskutieren die Aufnahme eines Aufrufs an das Microsoft-Repository unter Raspberry Pi OS sowie die Hinzufügung eines Microsoft GPG-Schlüssels für eine zuverlässige Paketinstallation.
Das Microsoft-Repository wird vom Paket raspberrypi-sys-mods hinzugefügt, einschließlich betriebssystemspezifischer Skripte und Einstellungen.
Die Konfiguration von /etc/apt/sources.list.d wird durch das Post-Inst-Skript geändert und wird zum Konfigurieren der VSCode-Entwicklungsumgebung verwendet. Die Hauptansprüche beziehen sich auf die Tatsache, dass das Microsoft-Repository und der Schlüssel ohne Warnung der Benutzer hinzugefügt wurden.
Die Idee hinter dem Hinzufügen des Microsoft Apt-Repositorys besteht darin, die Verwendung der Visual Studio Code-Entwicklungsumgebung zu vereinfachen.
Es liegt offiziell daran, dass sie die IDE (!) Von Microsoft unterstützen. Sie erhalten sie jedoch auch dann, wenn Sie sie von einem klaren Image installiert haben und Ihren Pi ohne Kopf ohne GUI verwenden. Dies bedeutet, dass Sie jedes Mal, wenn Sie ein "passendes Update" auf Ihrem Pi durchführen, einen Microsoft-Server anpingen.
Sie installieren auch den Microsoft GPG-Schlüssel, mit dem Pakete aus diesem Repository signiert werden. Dies kann möglicherweise zu einem Szenario führen, in dem ein Update eine Abhängigkeit aus dem Microsoft-Repository zieht und das System diesem Paket automatisch vertraut.
Die Installation des Repositorys erfolgt stillschweigend ohne Zustimmung des Benutzers, und die Raspberry Foundation hat die Benutzer nicht über einen speziellen Blog-Beitrag auf eine solche Änderung vorbereitet.
Verärgerte Benutzer kommentieren, dass eDieses Verhalten ist aus zwei Gründen gefährlich:
Wenn die Informationen zu Repositorys beim Installieren oder Aktualisieren von Paketen aktualisiert werden, fragt der Paketmanager zunächst alle verbundenen Repositorys ab, d. H.Der Microsoft-Server sammelt Informationen über die IP-Adressen aller Benutzer Raspberry Pi-Betriebssystem, mit dem ein Benutzerprofil erstellt werden kann.
Ein ähnliches Profil kann beispielsweise für gezielte Werbung verwendet werden, wenn Sie sich von derselben IP-Adresse aus bei Microsoft-Diensten anmelden.
Zweitens ist das Microsoft-Repository als vollständig vertrauenswürdig verbundenTrotz der Tatsache, dass es nicht unter der Kontrolle des Raspberry Pi-Betriebssystems steht, wurden Entwickler und Benutzer nicht um Bestätigung gebeten, den Microsoft GPG-Schlüssel hinzuzufügen. Wenn die Infrastruktur von Microsoft durch ein solches Repository gefährdet ist, können gefälschte Updates verteilt werden, um Standardpakete oder Abhängigkeiten zu ersetzen.
Das sagt er sogar weiter
Auf diese Weise erledigen Sie die ganze Zeit "bei ähnlichen Problemen", ohne die Besitzer Ihrer Single-Board-Computer zu informieren. »Benutzer haben sich an die Spannungen zwischen Linux und Microsoft in Bezug auf Telemetrie erinnert.
Schließlich wird darauf hingewiesen, dass die von der Community unterstützte Raspbian-Distribution nicht von dem Problem betroffen ist. Die Änderung wird nur Raspberry Pi OS hinzugefügt, einer von Raspberry Pi Foundations verwalteten Variante von Raspbian.
Ein anderer Ansatz besteht darin, Visual Studio Code zu blockieren, wenn Sie Raspberry Pi OS weiterhin verwenden möchten. Visual Studio Code ist mit Telemetrieoptionen ausgestattet, sodass viele Benutzer Visual Studio Codium für geeigneter halten.
Um den Zugriff auf Microsoft-Server im Raspberry Pi-Betriebssystem zu verhindern, kommentieren Sie einfach den Inhalt der Datei /etc/apt/sources.list.d/vscode.list und löschen Sie den Schlüssel / etc / apt / trust. Gpg.d / microsoft .gpg.
Außerdem kann "127.0.0.1 packages.microsoft.com" zu / etc / hosts hinzugefügt werden, um Anforderungen zu blockieren.
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie konsultieren den folgenden Link.