קרן Raspberry Pi התקינה בסתר מאגר של מיקרוסופט

Darkcrizt

4 דקות

לפני מספר ימים פורסמה הידיעה כי במסגרת עדכון לאחרונה במערכת ההפעלה של פטל, קרן Raspberry Pi התקינה מאגר של מיקרוסופט בכל מחשבי הלוח היחידים שסמכו עליו, ללא ידיעת בעליהם.

התמרון לא נעלם מעיניו בתוך הקהילה של לינוקס שמתגבר להתנגד לחוסר השקיפות והטלמטריה ולמשתמשים בלוחות ה- Raspberry Pi דנים כולל שיחה למאגר מיקרוסופט במערכת ההפעלה של Raspberry Pi, בתוספת תוספת של מפתח GPG של מיקרוסופט להתקנת חבילה אמינה.

המאגר של מיקרוסופט מתווסף על ידי חבילת raspberrypi-sys-mods, הכולל סקריפטים והגדרות ספציפיים למערכת ההפעלה.

התצורה של /etc/apt/sources.list.d משתנה על ידי התסריט שלאחר ההתקנה ומשמש להגדרת תצורת סביבת הפיתוח של VSCode. הטענות העיקריות קשורות לעובדה כי המאגר והמפתח של מיקרוסופט נוספו ללא אזהרת משתמשים.

הרעיון מאחורי הוספת המאגר המתאים של מיקרוסופט הוא להקל על השימוש בסביבת הפיתוח של Visual Studio.

זה באופן רשמי כי הם תומכים ב- IDE של מיקרוסופט (!), אבל תקבל את זה גם אם התקנת אותו מתמונה ברורה ותשתמש ב- Pi שלך בלי ראש בלי ממשק משתמש. המשמעות היא שבכל פעם שאתה מבצע "עדכון מתאים" על ה- Pi שלך, אתה משליך לשרת מיקרוסופט.

הם גם מתקינים את מפתח ה- GPG של מיקרוסופט המשמש לחתימת חבילות מאותו מאגר. זה עלול להוביל לתרחיש שבו עדכון מושך תלות ממאגר מיקרוסופט והמערכת תסמוך אוטומטית על החבילה הזו.

התקנת המאגר נעשית בשקט, ללא הסכמת משתמש, וקרן פטל לא הכינה את המשתמשים לשינוי כזה באמצעות פוסט ייעודי בבלוג.

משתמשים מעצבנים מגיבים כי ההתנהגות זו מסוכנת משתי סיבות:

ראשית, בכל פעם שמאגר המידע מתעדכן בעת ​​התקנת או עדכון חבילות, מנהל החבילות סוקר את כל המאגרים המחוברים, כלומרשרת מיקרוסופט צובר מידע על כתובות ה- IP של כל המשתמשים מערכת הפעלה Raspberry Pi, באמצעותה ניתן ליצור פרופיל משתמש.

פרופיל דומה יכול לשמש, למשל, לפרסום ממוקד בעת כניסה לשירותי מיקרוסופט מאותה כתובת IP.

שנית, המאגר של מיקרוסופט מחובר כאמין לחלוטין, למרות העובדה שזה לא בשליטתם של מפתחי מערכת ההפעלה Raspberry Pi והמשתמשים לא התבקשו לקבל אישור להוסיף את מפתח ה- GPG של מיקרוסופט. אם התשתית של מיקרוסופט נפגעת באמצעות מאגר כזה, ניתן להפיץ עדכונים מזויפים כדי להחליף חבילות סטנדרטיות או להחליף תלות.

הוא אפילו ממשיך ואומר את זה

זו הדרך בה אתה עושה דברים כל הזמן "לבעיות דומות" מבלי ליידע את בעלי קו מחשבי הלוח היחיד שלך. »משתמשים נזכרו במתיחות בין לינוקס למיקרוסופט בגלל טלמטריה.

לבסוף, יצוין כי ההפצה של Raspbian הנתמכת על ידי הקהילה אינה מושפעת מהבעיה, השינוי מתווסף רק ל- Raspberry Pi OS, גרסה של Raspbian המתוחזקת על ידי Raspberry Pi Foundations.

גישה אחרת היא לחסום קוד Visual Studio אם ברצונך להמשיך להשתמש במערכת ההפעלה של Raspberry Pi. קוד Visual Studio מצויד באפשרויות טלמטריה, ולכן משתמשים רבים מוצאים את Visual Studio Codium מתאים יותר.

כדי לבטל את הגישה לשרתי מיקרוסופט במערכת ההפעלה Raspberry Pi, פשוט הגב לתוכן הקובץ /etc/apt/sources.list.d/vscode.list ולמחוק את המפתח / etc / apt / trust. Gpg.d / microsoft .gpg.

כמו כן, ניתן להוסיף "127.0.0.1 packages.microsoft.com" ל- / etc / hosts כדי לחסום בקשות.

לבסוף, אם אתה מעוניין לדעת יותר על כך, אתה יכול להתייעץ הקישור הבא. 


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.