Useita päiviä sitten julkaistiin uutinen, että osana vadelma-käyttöjärjestelmän äskettäistä päivitystä Raspberry Pi Foundation asensi Microsoft-arkiston kaikilla yksitietokoneilla, jotka luottivat siihen, ilman omistajien tietämystä.
Ohjaus ei ole jäänyt huomaamatta yhteisössä Linuxista, joka on tehostamassa vastustamaan läpinäkyvyyden ja telemetrian puutetta ja Raspberry Pi -taulujen käyttäjiä keskustelemme puhelun sisällyttämisestä Microsoft-arkistoon Raspberry Pi OS -käyttöjärjestelmässä sekä Microsoft GPG -avaimen lisääminen luotettavaan pakettiasennukseen.
Microsoft-arkiston lisää raspberrypi-sys-mods-paketti, joka sisältää käyttöjärjestelmäkohtaiset komentosarjat ja asetukset.
Tiedoston /etc/apt/sources.list.d kokoonpanoa muokkaa inst-post-komentosarja ja sitä käytetään VSCode-kehitysympäristön määrittämiseen. Tärkeimmät väitteet liittyvät siihen, että Microsoftin arkisto ja avain lisättiin varoittamatta käyttäjiä.
Microsoft apt -tietovaraston lisäämisen idea on helpottaa Visual Studio Code -kehitysympäristön käyttöä.
Virallisesti se johtuu siitä, että he tukevat Microsoftin IDE: tä (!), Mutta saat sen, vaikka asensit sen selkeästä kuvasta ja käyttäisit Pi: täsi ilman päätä ilman käyttöliittymää. Tämä tarkoittaa, että aina kun teet "apt-päivityksen" Pi: lläsi, pingaat Microsoft-palvelinta.
He asentavat myös Microsoft GPG-avaimen, jota käytetään pakettien allekirjoittamiseen kyseisestä arkistosta. Tämä voi johtaa tilanteeseen, jossa päivitys vetää riippuvuuden Microsoftin arkistosta ja järjestelmä luottaisi automaattisesti kyseiseen pakettiin.
Arkiston asennus tapahtuu äänettömästi, ilman käyttäjän suostumusta, eikä Raspberry Foundation säätänyt käyttäjiä tällaiseen muutokseen erillisen blogiviestin avulla.
Ärsyttävät käyttäjät kommentoivat, että eTämä käyttäytyminen on vaarallista kahdesta syystä:
Ensinnäkin aina, kun arkistotiedot päivitetään paketteja asennettaessa tai päivitettäessä, paketinhallinta kysyy kaikki liitetyt arkistot, ts.Microsoft-palvelin kerää tietoja kaikkien käyttäjien IP-osoitteista Raspberry Pi -käyttöjärjestelmä, jota voidaan käyttää käyttäjäprofiilin luomiseen.
Samanlaista profiilia voidaan käyttää esimerkiksi kohdennettuun mainontaan, kun kirjaudut Microsoft-palveluihin samalla IP-osoitteella.
Toiseksi Microsoftin arkisto on yhdistetty täysin luotettavaksihuolimatta siitä, että se ei ole Raspberry Pi -käyttöjärjestelmän kehittäjien hallinnassa ja käyttäjiltä ei pyydetty vahvistusta Microsoft GPG -avaimen lisäämisestä. Jos Microsoftin infrastruktuuri vaarantuu tällaisen arkiston kautta, väärennettyjä päivityksiä voidaan jakaa korvaamaan vakiopaketit tai korvaamaan riippuvuudet.
Hän jopa jatkaa sitä
Näin teet asioita koko ajan "vastaavien ongelmien varalta" ilmoittamatta asiasta yhden kortin tietokoneiden tuotevalikoimallesi. »Käyttäjät ovat muistuttaneet Linuxin ja Microsoftin välisestä jännitteestä telemetrian vuoksi.
Lopuksi on huomattava, että ongelma ei vaikuta yhteisön tukemaan Raspbian-jakeluun, muutos lisätään vain Raspberry Pi -käyttöjärjestelmään, joka on Raspbian Pi -säätiöiden ylläpitämä Raspbian-muunnos.
Toinen tapa on estää Visual Studio Code, jos haluat jatkaa Raspberry Pi OS: n käyttöä. Visual Studio Code on varustettu telemetriavaihtoehdoilla, joten monet käyttäjät pitävät Visual Studio Codiumia sopivampana.
Voit poistaa pääsyn Microsoftin palvelimille Raspberry Pi -käyttöjärjestelmässä yksinkertaisesti kommentoimalla /etc/apt/sources.list.d/vscode.list -tiedoston sisältöä ja poistamalla / etc / apt / trusted -avaimen. Gpg.d / microsoft .gpg.
Lisäksi "127.0.0.1 paketit.microsoft.com" voidaan lisätä hakemistoon / etc / hosts estääksesi pyyntöjä.
lopuksi, jos olet kiinnostunut tietämään siitä lisää, voit kuulla seuraava linkki.