Enkele dagen geleden werd het nieuws vrijgegeven dat als onderdeel van een recente update in Raspberry OS, de Raspberry Pi Foundation heeft een Microsoft-repository geïnstalleerd op alle single board computers die erop vertrouwden, zonder medeweten van hun eigenaren.
De manoeuvre is niet onopgemerkt gebleven binnen de gemeenschap van Linux dat zich verzet tegen het gebrek aan transparantie en telemetrie en de gebruikers van Raspberry Pi-borden bespreken inclusief een oproep naar de Microsoft-repository op Raspberry Pi OS, plus de toevoeging van een Microsoft GPG-sleutel voor betrouwbare pakketinstallatie.
De Microsoft-repository wordt toegevoegd door het raspberrypi-sys-mods-pakket, inclusief besturingssysteemspecifieke scripts en instellingen.
De configuratie van /etc/apt/sources.list.d wordt gewijzigd door het post-inst script en wordt gebruikt om de VSCode-ontwikkelomgeving te configureren. De belangrijkste claims houden verband met het feit dat de Microsoft-repository en -sleutel zijn toegevoegd zonder gebruikers te waarschuwen.
Het idee achter het toevoegen van de Microsoft apt-repository is om het gemakkelijker te maken om de Visual Studio Code-ontwikkelomgeving te gebruiken.
Het is officieel omdat ze de IDE van Microsoft ondersteunen (!), Maar je krijgt het zelfs als je het installeert vanaf een duidelijke afbeelding en je Pi gebruikt zonder kop zonder GUI. Dit betekent dat elke keer dat u een "apt-update" op uw Pi uitvoert, u een Microsoft-server pingt.
Ze installeren ook de Microsoft GPG-sleutel die wordt gebruikt om pakketten uit die repository te ondertekenen. Dit kan mogelijk leiden tot een scenario waarin een update een afhankelijkheid uit de Microsoft-repository haalt en het systeem dat pakket automatisch vertrouwt.
De installatie van de repository gebeurt stil, zonder toestemming van de gebruiker, en de Raspberry Foundation heeft gebruikers niet voorbereid op een dergelijke wijziging via een speciale blogpost.
Geërgerde gebruikers merken op dat eDit gedrag is om twee redenen gevaarlijk:
Ten eerste, wanneer de informatie over opslagplaatsen wordt bijgewerkt tijdens het installeren of bijwerken van pakketten, peilt de pakketbeheerder alle aangesloten opslagplaatsen, dat wil zeggen, eDe Microsoft-server verzamelt informatie over de IP-adressen van alle gebruikers Raspberry Pi-besturingssysteem, dat kan worden gebruikt om een gebruikersprofiel te maken.
Een soortgelijk profiel kan bijvoorbeeld worden gebruikt voor gerichte advertenties bij het inloggen op Microsoft-services vanaf hetzelfde IP-adres.
Ten tweede is de Microsoft-repository verbonden als volledig betrouwbaar, ondanks het feit dat het niet onder de controle staat van de ontwikkelaars van het Raspberry Pi-besturingssysteem en gebruikers niet om bevestiging werd gevraagd om de GPG-sleutel van Microsoft toe te voegen. Als de infrastructuur van Microsoft wordt gecompromitteerd via een dergelijke opslagplaats, kunnen nep-updates worden verspreid om standaardpakketten te vervangen of afhankelijkheden te vervangen.
Dat zegt hij zelfs verder
Dit is de manier waarop u de hele tijd dingen doet "voor soortgelijke problemen" zonder de eigenaars van uw lijn van enkelkaartcomputers te informeren. »Gebruikers herinneren zich de spanningen tussen Linux en Microsoft via telemetrie.
Ten slotte wordt opgemerkt dat de Raspbian-distributie die door de gemeenschap wordt ondersteund, niet wordt beïnvloed door het probleem, de wijziging wordt alleen toegevoegd aan Raspberry Pi OS, een variant van Raspbian die wordt onderhouden door Raspberry Pi Foundations.
Een andere benadering is om Visual Studio Code te blokkeren als u Raspberry Pi OS wilt blijven gebruiken. Visual Studio Code is uitgerust met telemetrie-opties, dus veel gebruikers vinden Visual Studio Codium geschikter.
Om toegang tot Microsoft-servers in het Raspberry Pi-besturingssysteem te elimineren, geeft u gewoon commentaar op de inhoud van het bestand /etc/apt/sources.list.d/vscode.list en verwijdert u de / etc / apt / vertrouwde sleutel. Gpg.d / microsoft .gpg.
Ook kan "127.0.0.1 packages.microsoft.com" worden toegevoegd aan / etc / hosts om verzoeken te blokkeren.
Tenslotte als u er meer over wilt weten, kunt u raadplegen de volgende link.