Mitu päeva tagasi avaldati uudis, et hiljutise Raspberry OS värskenduse osana Raspberry Pi sihtasutus installis Microsofti hoidla kõigil ühtsetel arvutitel, mis seda usaldasid, ilma nende omanike teadmata.
Manööver pole kogukonnas märkamatuks jäänud Linuxi, mis astub üles läbipaistvuse ja telemeetria puudumise ning Raspberry Pi tahvlite kasutajate vastu arutame ka helistamist Microsofti hoidlasse Raspberry Pi OS-il, lisaks Microsofti GPG-võtme lisamine paketi usaldusväärseks installimiseks.
Microsofti hoidlat lisab pakett raspberrypi-sys-mods, mis sisaldab operatsioonisüsteemi spetsiifilisi skripte ja sätteid.
Faili /etc/apt/sources.list.d konfiguratsiooni muudab inst-post skript ja seda kasutatakse VSCode'i arenduskeskkonna konfigureerimiseks. Peamised nõuded on seotud asjaoluga, et Microsofti hoidla ja võti lisati kasutajaid hoiatamata.
Microsofti apt-hoidla lisamise idee on Visual Studio Code'i arenduskeskkonna kasutamise hõlbustamine.
Ametlikult on see tingitud sellest, et nad toetavad Microsofti IDE-d (!), Kuid saate selle ka siis, kui installisite selle selge pildi järgi ja kasutaksite oma Pi ilma peata ilma GUI-ta. See tähendab, et iga kord, kui teete oma Pi-le "apt-värskenduse", pingutate Microsofti serveris.
Nad installivad ka Microsofti GPG-võtme, mida kasutatakse sellest hoidlast pakettide allkirjastamiseks. See võib potentsiaalselt põhjustada stsenaariumi, kus värskendus tõmbab Microsofti hoidlast sõltuvuse ja süsteem usaldaks seda paketti automaatselt.
Hoidla installimine toimub vaikselt, ilma kasutaja nõusolekuta ning Vaarika Fond ei valmistanud kasutajaid selleks muudatuseks ette spetsiaalse ajaveebipostituse kaudu.
Ärritunud kasutajad kommenteerivad, et eSee käitumine on ohtlik kahel põhjusel:
Esiteks, kui pakettide installimisel või värskendamisel värskendatakse hoidlateavet, küsitleb paketihaldur kõiki ühendatud hoidlaid, st eMicrosofti server kogub teavet kõigi kasutajate IP-aadresside kohta Raspberry Pi operatsioonisüsteem, mille abil saab luua kasutajaprofiili.
Sarnast profiili saab kasutada näiteks sihtreklaamide jaoks, kui logite Microsofti teenustesse samalt IP-lt.
Teiseks on Microsofti hoidla ühendatud täiesti usaldusväärsena, hoolimata asjaolust, et see pole Raspberry Pi opsüsteemi arendajate kontrolli all ja kasutajatelt ei küsitud Microsofti GPG-võtme lisamiseks kinnitust. Kui Microsofti infrastruktuur on sellise hoidla kaudu rikutud, saab levitada võltsitud värskendusi, et asendada standardsed paketid või asendada sõltuvused.
Ta jätkab seda isegi
See on viis, kuidas teete pidevalt asju "sarnaste probleemide korral", teavitamata sellest oma pardal olevate arvutite sarja omanikke. »Kasutajad on meelde tuletanud telemeetriaga seotud pingeid Linuxi ja Microsofti vahel.
Lõpuks tuleb märkida, et probleem ei mõjuta kogukonna toetatud Raspbidi levitamist, muudatus lisatakse ainult Raspberry Pi OS-ile, mis on Raspberry Pi Foundationsi hallatav Raspbani variant.
Teine lähenemisviis on Visual Studio koodi blokeerimine, kui soovite jätkata Raspberry Pi OS kasutamist. Visual Studio Code on varustatud telemeetria suvanditega, nii et paljud kasutajad peavad Visual Studio Codiumit sobivamaks.
Raspberry Pi operatsioonisüsteemi Microsofti serveritele juurdepääsu kaotamiseks kommenteerige lihtsalt faili /etc/apt/sources.list.d/vscode.list sisu ja kustutage võti / etc / apt / trusted. Gpg.d / microsoft .gpg.
Taotluste blokeerimiseks saab ka faili / etc / hosts lisada "127.0.0.1 paketid.microsoft.com".
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate nõu pidada järgmine link.