Beberapa hari yang lalu berita dikeluarkan bahawa sebagai sebahagian daripada kemas kini baru-baru ini di Raspberry OS, Raspberry Pi Foundation memasang repositori Microsoft pada semua komputer papan tunggal yang mempercayainya, tanpa pengetahuan pemiliknya.
Manuver tidak disedari oleh masyarakat Linux yang terus meningkat untuk menentang kurangnya ketelusan dan telemetri dan pengguna papan Raspberry Pi sedang membincangkan termasuk panggilan ke repositori Microsoft pada Raspberry Pi OS, ditambah dengan penambahan kunci Microsoft GPG untuk pemasangan pakej yang boleh dipercayai.
Repositori Microsoft ditambah dengan pakej raspberrypi-sys-mods, yang merangkumi skrip dan tetapan khusus sistem operasi.
Konfigurasi /etc/apt/sources.list.d diubah suai dengan skrip pasca inst dan digunakan untuk mengkonfigurasi persekitaran pengembangan VSCode. Tuntutan utama berkaitan dengan fakta bahawa repositori dan kunci Microsoft ditambahkan tanpa memberi amaran kepada pengguna.
Idea di sebalik menambahkan repositori apt Microsoft adalah untuk mempermudah penggunaan persekitaran pengembangan Visual Studio Code.
Ini secara rasmi kerana mereka menyokong IDE Microsoft (!), Tetapi anda akan mendapatkannya walaupun anda memasangnya dari gambar yang jelas dan menggunakan Pi anda tanpa kepala tanpa GUI. Ini bermaksud bahawa setiap kali anda melakukan "kemas kini apt" pada Pi anda, anda melakukan ping pada pelayan Microsoft.
Mereka juga memasang kunci Microsoft GPG yang digunakan untuk menandatangani pakej dari repositori itu. Ini berpotensi menyebabkan senario di mana kemas kini menarik ketergantungan dari repositori Microsoft dan sistem akan mempercayai pakej itu secara automatik.
Pemasangan repositori dilakukan secara senyap, tanpa persetujuan pengguna, dan Raspberry Foundation tidak mempersiapkan pengguna untuk perubahan tersebut melalui catatan blog khusus.
Pengguna yang kesal memberi komen bahawa eTingkah laku ini berbahaya kerana dua sebab:
Pertama, setiap kali maklumat repositori dikemas kini semasa memasang atau mengemas kini pakej, pengurus pakej memeriksa semua repositori yang bersambung, iaitu, ePelayan Microsoft mengumpulkan maklumat mengenai alamat IP semua pengguna Sistem operasi Raspberry Pi, yang dapat digunakan untuk membuat profil pengguna.
Profil yang serupa dapat digunakan, misalnya, untuk iklan yang disasarkan ketika log masuk ke perkhidmatan Microsoft dari IP yang sama.
Kedua, repositori Microsoft dihubungkan sebagai boleh dipercayai sepenuhnya, walaupun pada hakikatnya ia tidak berada di bawah kawalan pemaju sistem operasi Raspberry Pi dan pengguna tidak diminta pengesahan untuk menambahkan kunci GPG Microsoft. Sekiranya infrastruktur Microsoft terganggu melalui repositori seperti itu, kemas kini palsu dapat diedarkan untuk menggantikan pakej standard atau menggantikan pergantungan.
Dia malah terus mengatakannya
Ini adalah cara anda melakukan perkara sepanjang masa "untuk masalah yang serupa" tanpa memberitahu pemilik rangkaian komputer papan tunggal anda. »Pengguna mengingatkan ketegangan antara Linux dan Microsoft mengenai telemetri.
Akhirnya, diperhatikan bahawa pengedaran Raspbian yang disokong oleh masyarakat tidak terjejas oleh masalahnya, perubahan itu hanya ditambahkan ke Raspberry Pi OS, varian Raspbian yang dikendalikan oleh Raspberry Pi Foundations.
Pendekatan lain adalah untuk menyekat Visual Studio Code jika anda ingin terus menggunakan Raspberry Pi OS. Visual Studio Code dilengkapi dengan pilihan telemetri, sehingga banyak pengguna menganggap Visual Studio Codium lebih sesuai.
Untuk menghilangkan akses ke pelayan Microsoft dalam sistem operasi Raspberry Pi, cukup komen kandungan fail /etc/apt/sources.list.d/vscode.list dan hapus kunci / etc / apt / dipercayai. Gpg.d / microsoft .gpg.
Juga, "127.0.0.1 package.microsoft.com" dapat ditambahkan ke / etc / host untuk menyekat permintaan.
Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh berunding pautan berikut.