Raspberry PiFoundationは密かにMicrosoftリポジトリをインストールしました

Darkcrizt

4分

数日前、RaspberryOSの最近のアップデートの一部としてニュースがリリースされました。 Raspberry PiFoundationがMicrosoftリポジトリをインストールしました 所有者の知らないうちに、それを信頼したすべてのシングルボードコンピューターで。

機動はコミュニティ内で見過ごされていません 透明性とテレメトリの欠如に対抗するためにステップアップしているLinuxとRaspberryPiボードのユーザー Microsoftリポジトリへの呼び出しを含めることについて話し合っています Raspberry Pi OSに加えて、信頼性の高いパッケージインストールのためのMicrosoftGPGキーの追加。

Microsoftリポジトリは、raspberrypi-sys-modsパッケージによって追加されます、オペレーティングシステム固有のスクリプトと設定が含まれます。

/etc/apt/sources.list.dの構成は、post-instスクリプトによって変更されます VSCode開発環境を構成するために使用されます。 主な主張は、Microsoftリポジトリとキーがユーザーに警告することなく追加されたという事実に関連しています。

Microsoft aptリポジトリを追加する背後にある考え方は、Visual StudioCode開発環境を使いやすくすることです。

公式にはMicrosoftのIDE(!)をサポートしているためですが、クリアなイメージからインストールして、GUIなしでヘッドなしでPiを使用しても取得できます。 これは、Piで「aptupdate」を実行するたびに、Microsoftサーバーにpingを実行することを意味します。

また、そのリポジトリからパッケージに署名するために使用されるMicrosoftGPGキーをインストールします。 これにより、更新によってMicrosoftリポジトリから依存関係がプルされ、システムがそのパッケージを自動的に信頼するというシナリオが発生する可能性があります。

リポジトリのインストールはユーザーの同意なしにサイレントに実行され、RaspberryFoundationは専用のブログ投稿を通じてそのような変更に備えてユーザーを準備しませんでした。

イライラしたユーザーは、eこの動作は、次のXNUMXつの理由で危険です。

まず、パッケージのインストールまたは更新時にリポジトリ情報が更新されるたびに、パッケージマネージャーは接続されているすべてのリポジトリをポーリングします。Microsoftサーバーは、すべてのユーザーのIPアドレスに関する情報を蓄積します RaspberryPiオペレーティングシステム。ユーザープロファイルの作成に使用できます。

同様のプロファイルは、たとえば、同じIPからMicrosoftサービスにログインする際のターゲット広告に使用できます。

第二に、Microsoftリポジトリは完全に信頼できるものとして接続されています、Raspberry Piオペレーティングシステムの開発者とユーザーの管理下にないという事実にもかかわらず、MicrosoftGPGキーを追加するための確認を求められませんでした。 このようなリポジトリを通じてMicrosoftのインフラストラクチャが侵害された場合、偽の更新を配布して、標準パッケージを置き換えたり、依存関係を置き換えたりすることができます。

彼は続けてそれを言います

これは、シングルボードコンピューターのラインの所有者に通知することなく、「同様の問題に対して」常に物事を行う方法です。 »ユーザーは、テレメトリをめぐるLinuxとMicrosoftの間の緊張関係を思い出しました。

最後に、コミュニティでサポートされているRaspbianディストリビューションは問題の影響を受けず、変更はRaspberry PiFoundationsによって維持されているRaspbianのバリアントであるRaspberryPiOSにのみ追加されることに注意してください。

別のアプローチは、Raspberry Pi OSを引き続き使用する場合は、Visual StudioCodeをブロックすることです。 Visual Studio Codeにはテレメトリオプションが装備されているため、多くのユーザーはVisual StudioCodiumの方が適していると考えています。

Raspberry PiオペレーティングシステムでMicrosoftサーバーへのアクセスを排除するには、/ etc / apt / sources.list.d / vscode.listファイルの内容にコメントを付け、/ etc / apt / trustedkeyを削除します。gpg.d/ microsoft .gpg。

また、「127.0.0.1packages.microsoft.com」を/ etc / hostsに追加して、リクエストをブロックすることもできます。

最後に、 あなたがそれについてもっと知りたいのなら、あなたは相談することができます 次のリンク。 


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。