A Fundación Raspberry Pi instalou en segredo un repositorio de Microsoft

Hai varios días lanzouse a noticia de que, como parte dunha actualización recente en Raspberry OS, a Raspberry Pi Foundation instalou un repositorio de Microsoft en todos os ordenadores de placa única que confiaban nel, sen o coñecemento dos seus propietarios.

A manobra non pasou desapercibida dentro da comunidade de Linux que se está intensificando para opoñerse á falta de transparencia e telemetría e aos usuarios das placas Raspberry Pi están discutindo incluír unha chamada ao repositorio de Microsoft no sistema operativo Raspberry Pi, ademais da adición dunha clave Microsoft GPG para unha instalación fiable do paquete.

O repositorio de Microsoft engádese co paquete raspberrypi-sys-mods, que inclúe scripts e axustes específicos do sistema operativo.

A configuración de /etc/apt/sources.list.d é modificada polo script post-inst e úsase para configurar o contorno de desenvolvemento VSCode. As principais afirmacións están relacionadas co feito de que o repositorio e a clave de Microsoft se engadiron sen avisar aos usuarios.

A idea detrás de engadir o repositorio apt de Microsoft é facilitar o uso do contorno de desenvolvemento de Visual Studio Code.

Oficialmente é porque admiten o IDE de Microsoft (!), Pero conseguirás incluso se o instalaches cunha imaxe clara e usas o teu Pi sen cabeza sen GUI. Isto significa que cada vez que fas unha "actualización apt" no teu Pi, estás facendo ping a un servidor de Microsoft.

Tamén instalan a clave GPG de Microsoft que se usa para asinar paquetes desde ese repositorio. Isto pode levar a un escenario no que unha actualización extrae unha dependencia do repositorio de Microsoft e o sistema confiaría automaticamente nese paquete.

A instalación do repositorio realízase en silencio, sen o consentimento do usuario, e Raspberry Foundation non preparou aos usuarios para tal cambio a través dunha publicación de blog dedicada.

Os usuarios molestos comentan que eEste comportamento é perigoso por dúas razóns:

En primeiro lugar, sempre que se actualiza a información dos repositorios ao instalar ou actualizar paquetes, o xestor de paquetes sondea todos os repositorios conectados, é dicir, eO servidor de Microsoft acumula información sobre as direccións IP de todos os usuarios Sistema operativo Raspberry Pi, que se pode usar para crear un perfil de usuario.

Pódese usar un perfil similar, por exemplo, para publicidade dirixida ao iniciar sesión nos servizos de Microsoft desde a mesma IP.

En segundo lugar, o repositorio de Microsoft está conectado como totalmente fiable, a pesar de que non está baixo o control dos desenvolvedores do sistema operativo Raspberry Pi e aos usuarios non se lles pediu confirmación para engadir a clave Microsoft GPG. Se a infraestrutura de Microsoft está comprometida a través deste repositorio, pódense distribuír falsas actualizacións para substituír paquetes estándar ou substituír dependencias.

Mesmo segue dicindo iso

Esta é a forma de facer as cousas todo o tempo "por problemas similares" sen informar aos propietarios da súa liña de ordenadores de placa única. »Os usuarios recordaron as tensións entre Linux e Microsoft pola telemetría.

Finalmente, obsérvase que a distribución de Raspbian soportada pola comunidade non se ve afectada polo problema, o cambio só se engade a Raspberry Pi OS, unha variante de Raspbian mantida por Raspberry Pi Foundations.

Outro enfoque é bloquear Visual Studio Code se quere seguir usando Raspberry Pi OS. Visual Studio Code está equipado con opcións de telemetría, polo que moitos usuarios consideran que Visual Studio Codium é máis axeitado.

Para eliminar o acceso aos servidores de Microsoft no sistema operativo Raspberry Pi, simplemente comente o contido do ficheiro /etc/apt/sources.list.d/vscode.list e elimine a clave / etc / apt / trust. Gpg.d / microsoft .gpg.

Ademais, pódese engadir "127.0.0.1 packages.microsoft.com" a / etc / hosts para bloquear as solicitudes.

Finalmente, se estás interesado en saber máis sobre el, pode consultalo a seguinte ligazón. 


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.