Beberapa hari yang lalu telah dirilis berita bahwa sebagai bagian dari update terbaru di Raspberry OS, Raspberry Pi Foundation menginstal repositori Microsoft di semua komputer papan tunggal yang mempercayainya, tanpa sepengetahuan pemiliknya.
Manuver tersebut tidak luput dari perhatian di dalam komunitas Linux yang sedang melangkah untuk menentang kurangnya transparansi dan telemetri dan pengguna papan Raspberry Pi sedang membahas termasuk panggilan ke repositori Microsoft pada Raspberry Pi OS, ditambah dengan tambahan kunci Microsoft GPG untuk instalasi paket yang andal.
Repositori Microsoft ditambahkan oleh paket raspberrypi-sys-mods, yang mencakup skrip dan setelan khusus sistem operasi.
Konfigurasi /etc/apt/sources.list.d diubah oleh skrip post-inst dan digunakan untuk mengkonfigurasi lingkungan pengembangan VSCode. Klaim utama terkait dengan fakta bahwa repositori dan kunci Microsoft ditambahkan tanpa peringatan kepada pengguna.
Ide di balik menambahkan repositori Microsoft apt adalah untuk membuatnya lebih mudah menggunakan lingkungan pengembangan Visual Studio Code.
Secara resmi itu karena mereka mendukung Microsoft's IDE (!), Tetapi Anda akan mendapatkannya bahkan jika Anda menginstalnya dari gambar yang jelas dan menggunakan Pi Anda tanpa kepala tanpa GUI. Ini berarti bahwa setiap kali Anda melakukan "pembaruan tepat" pada Pi, Anda melakukan ping ke server Microsoft.
Mereka juga menginstal kunci Microsoft GPG yang digunakan untuk menandatangani paket dari repositori itu. Ini berpotensi mengarah ke skenario di mana pembaruan menarik ketergantungan dari penyimpanan Microsoft dan sistem akan secara otomatis mempercayai paket itu.
Penginstalan repositori dilakukan secara diam-diam, tanpa persetujuan pengguna, dan Raspberry Foundation tidak mempersiapkan pengguna untuk perubahan tersebut melalui posting blog khusus.
Pengguna yang kesal berkomentar bahwa ePerilaku ini berbahaya karena dua alasan:
Pertama, setiap kali informasi repositori diperbarui saat menginstal atau memperbarui paket, manajer paket mengumpulkan semua repositori yang terhubung, yaitu, eServer Microsoft mengumpulkan informasi tentang alamat IP semua pengguna Sistem operasi Raspberry Pi, yang dapat digunakan untuk membuat profil pengguna.
Profil serupa dapat digunakan, misalnya, untuk iklan bertarget saat masuk ke layanan Microsoft dari IP yang sama.
Kedua, repositori Microsoft terhubung sebagai sepenuhnya dapat dipercaya, terlepas dari kenyataan bahwa itu tidak di bawah kendali pengembang sistem operasi Raspberry Pi dan pengguna tidak dimintai konfirmasi untuk menambahkan kunci Microsoft GPG. Jika infrastruktur Microsoft dikompromikan melalui repositori tersebut, pembaruan palsu dapat didistribusikan untuk mengganti paket standar atau mengganti ketergantungan.
Dia bahkan melanjutkan dengan mengatakan itu
Ini adalah cara Anda melakukan sesuatu sepanjang waktu "untuk masalah yang sama" tanpa memberi tahu pemilik lini komputer papan tunggal Anda. »Pengguna telah mengingat kembali ketegangan antara Linux dan Microsoft terkait telemetri.
Terakhir, diketahui bahwa distribusi Raspbian yang didukung oleh komunitas tidak terpengaruh oleh masalah tersebut, perubahan tersebut hanya ditambahkan pada OS Raspberry Pi, varian Raspbian yang dikelola oleh Raspberry Pi Foundations.
Pendekatan lain adalah dengan memblokir Visual Studio Code jika Anda ingin terus menggunakan Raspberry Pi OS. Visual Studio Code dilengkapi dengan opsi telemetri, sehingga banyak pengguna yang menganggap Visual Studio Codium lebih cocok.
Untuk menghilangkan akses ke server Microsoft di sistem operasi Raspberry Pi, cukup komentari konten file /etc/apt/sources.list.d/vscode.list dan hapus / etc / apt / trusted key. Gpg.d / microsoft .gpg.
Selain itu, "127.0.0.1 packages.microsoft.com" dapat ditambahkan ke / etc / hosts untuk memblokir permintaan.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda bisa berkonsultasi link berikut.