Raspberry Pi Foundation은 비밀리에 Microsoft 저장소를 설치했습니다.

Darkcrizt

4 분

며칠 전 Raspberry OS의 최근 업데이트의 일환으로 Raspberry Pi Foundation은 Microsoft 저장소를 설치했습니다. 소유자 모르게 신뢰할 수있는 모든 단일 보드 컴퓨터에서.

그 기동은 커뮤니티 내에서 눈에 띄지 않았습니다. 투명성과 원격 측정의 부족과 Raspberry Pi 보드 사용자에 반대하는 Linux의 Microsoft 리포지토리에 대한 호출을 포함하여 논의 중입니다. Raspberry Pi OS 및 안정적인 패키지 설치를위한 Microsoft GPG 키 추가.

Microsoft 저장소는 raspberrypi-sys-mods 패키지에 의해 추가됩니다., 여기에는 운영 체제 별 스크립트 및 설정이 포함됩니다.

/etc/apt/sources.list.d의 구성은 post-inst 스크립트에 의해 수정됩니다. VSCode 개발 환경을 구성하는 데 사용됩니다. 주요 주장은 사용자에게 경고없이 Microsoft 리포지토리와 키가 추가되었다는 사실과 관련이 있습니다.

Microsoft apt 리포지토리를 추가하는 아이디어는 Visual Studio Code 개발 환경을 더 쉽게 사용할 수 있도록하는 것입니다.

공식적으로는 마이크로 소프트의 IDE (!)를 지원하기 때문이지만 선명한 이미지에서 설치하고 GUI없이 헤드없이 파이를 사용해도 얻을 수있다. 즉, Pi에서 "적절한 업데이트"를 수행 할 때마다 Microsoft 서버에 핑을 수행하게됩니다.

또한 해당 저장소에서 패키지에 서명하는 데 사용되는 Microsoft GPG 키도 설치합니다. 이는 업데이트가 Microsoft 리포지토리에서 종속성을 가져오고 시스템이 해당 패키지를 자동으로 신뢰하는 시나리오로 이어질 수 있습니다.

저장소 설치는 사용자 동의없이 자동으로 수행되며 Raspberry Foundation은 전용 블로그 게시물을 통해 이러한 변경에 대해 사용자를 준비하지 않았습니다.

짜증이 난 사용자는 e이 동작은 다음 두 가지 이유로 위험합니다.

첫째, 패키지를 설치하거나 업데이트 할 때 리포지토리 정보가 업데이트 될 때마다 패키지 관리자는 연결된 모든 리포지토리를 폴링합니다.Microsoft 서버는 모든 사용자의 IP 주소에 대한 정보를 축적합니다. 사용자 프로필을 생성하는 데 사용할 수있는 Raspberry Pi 운영 체제.

예를 들어 동일한 IP에서 Microsoft 서비스에 로그인 할 때 대상 광고에 유사한 프로필을 사용할 수 있습니다.

둘째, Microsoft 저장소는 완전히 신뢰할 수있는 상태로 연결됩니다., Raspberry Pi 운영 체제 개발자 및 사용자가 Microsoft GPG 키 추가 확인을 요청하지 않았음에도 불구하고 Raspberry Pi 운영 체제의 통제하에 있지 않습니다. Microsoft의 인프라가 이러한 저장소를 통해 손상되면 가짜 업데이트를 배포하여 표준 패키지를 대체하거나 종속성을 대체 할 수 있습니다.

그는 계속해서

이것은 단일 보드 컴퓨터 라인의 소유자에게 알리지 않고 "비슷한 문제에 대해"항상 작업을 수행하는 방법입니다. »사용자들은 원격 측정에 대한 Linux와 Microsoft 간의 긴장을 회상했습니다.

마지막으로 커뮤니티에서 지원하는 Raspbian 배포판은 문제의 영향을받지 않으며 변경 사항은 Raspberry Pi Foundations에서 유지 관리하는 Raspbian의 변형 인 Raspberry Pi OS에만 추가됩니다.

또 다른 접근 방식은 Raspberry Pi OS를 계속 사용하려는 경우 Visual Studio Code를 차단하는 것입니다. Visual Studio Code에는 원격 분석 옵션이 포함되어 있으므로 많은 사용자가 Visual Studio Codium이 더 적합하다고 생각합니다.

Raspberry Pi 운영 체제에서 Microsoft 서버에 대한 액세스를 제거하려면 /etc/apt/sources.list.d/vscode.list 파일의 내용에 주석을 달고 / etc / apt / trusted 키를 삭제하십시오. gpg.d / microsoft .gpg.

또한 "127.0.0.1 packages.microsoft.com"을 / etc / hosts에 추가하여 요청을 차단할 수 있습니다.

마지막으로, 그것에 대해 더 많이 알고 싶다면, 당신은 상담 할 수 있습니다 다음 링크. 


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.