Diversi giorni fa è stata rilasciata la notizia che come parte di un recente aggiornamento in Raspberry OS, la Raspberry Pi Foundation ha installato un repository Microsoft su tutti i computer a scheda singola che si fidavano di esso, all'insaputa dei loro proprietari.
La manovra non è passata inosservata all'interno della comunità di Linux che si sta facendo avanti per contrastare la mancanza di trasparenza e telemetria e gli utenti delle schede Raspberry Pi stanno discutendo di includere una chiamata al repository Microsoft su Raspberry Pi OS, oltre all'aggiunta di una chiave Microsoft GPG per un'installazione affidabile del pacchetto.
Il repository Microsoft viene aggiunto dal pacchetto raspberrypi-sys-mods, che include script e impostazioni specifici del sistema operativo.
La configurazione di /etc/apt/sources.list.d è modificata dallo script post-inst e viene utilizzato per configurare l'ambiente di sviluppo VSCode. Le affermazioni principali sono legate al fatto che il repository e la chiave Microsoft sono stati aggiunti senza preavviso agli utenti.
L'idea alla base dell'aggiunta del repository Microsoft apt è di semplificare l'utilizzo dell'ambiente di sviluppo di Visual Studio Code.
È ufficialmente perché supportano l'IDE di Microsoft (!), Ma lo otterrai anche se lo hai installato da un'immagine chiara e usi il tuo Pi senza una testa senza una GUI. Ciò significa che ogni volta che esegui un "aggiornamento apt" sul tuo Pi, stai inviando un ping a un server Microsoft.
Inoltre installano la chiave Microsoft GPG utilizzata per firmare i pacchetti da quel repository. Ciò può potenzialmente portare a uno scenario in cui un aggiornamento estrae una dipendenza dal repository Microsoft e il sistema si fida automaticamente di quel pacchetto.
L'installazione del repository viene eseguita silenziosamente, senza il consenso dell'utente, e Raspberry Foundation non ha preparato gli utenti a tale modifica tramite un post sul blog dedicato.
Gli utenti infastiditi commentano che eQuesto comportamento è pericoloso per due motivi:
In primo luogo, ogni volta che le informazioni sui repository vengono aggiornate durante l'installazione o l'aggiornamento dei pacchetti, il gestore dei pacchetti esegue il polling di tutti i repository connessi, ovvero eIl server Microsoft accumula informazioni sugli indirizzi IP di tutti gli utenti Sistema operativo Raspberry Pi, che può essere utilizzato per creare un profilo utente.
Un profilo simile può essere utilizzato, ad esempio, per pubblicità mirata quando si accede ai servizi Microsoft dallo stesso IP.
In secondo luogo, il repository Microsoft è connesso come completamente affidabile, nonostante il fatto che non sia sotto il controllo degli sviluppatori del sistema operativo Raspberry Pi e agli utenti non è stata richiesta la conferma per aggiungere la chiave GPG di Microsoft. Se l'infrastruttura di Microsoft viene compromessa tramite un tale repository, è possibile distribuire falsi aggiornamenti per sostituire i pacchetti standard o sostituire le dipendenze.
Continua anche a dirlo
Questo è il modo in cui fate sempre le cose "per problemi simili" senza informare i proprietari della vostra linea di computer a scheda singola. »Gli utenti hanno ricordato le tensioni tra Linux e Microsoft sulla telemetria.
Infine, si nota che la distribuzione Raspbian supportata dalla community non è interessata dal problema, la modifica viene aggiunta solo a Raspberry Pi OS, una variante di Raspbian mantenuta da Raspberry Pi Foundations.
Un altro approccio consiste nel bloccare Visual Studio Code se si desidera continuare a utilizzare il sistema operativo Raspberry Pi. Visual Studio Code è dotato di opzioni di telemetria, quindi molti utenti trovano Visual Studio Codium più adatto.
Per eliminare l'accesso ai server Microsoft nel sistema operativo Raspberry Pi, è sufficiente commentare il contenuto del file /etc/apt/sources.list.d/vscode.list ed eliminare la chiave / etc / apt / trusted. Gpg.d / microsoft .gpg.
Inoltre, "127.0.0.1 packages.microsoft.com" può essere aggiunto a / etc / hosts per bloccare le richieste.
Infine, se sei interessato a saperne di più, puoi consultare il seguente collegamento.