For flere dager siden ble nyheten utgitt at som en del av en nylig oppdatering i Raspberry OS, Raspberry Pi Foundation installerte et Microsoft-depot på alle enkeltkortcomputere som stolte på det, uten kjennskap fra eierne.
Manøvren har ikke gått ubemerket hen i samfunnet av Linux som trapper opp for å motsette seg mangelen på åpenhet og telemetri og brukerne av Raspberry Pi-brett diskuterer inkludert en samtale til Microsoft-depotet på Raspberry Pi OS, pluss tillegg av en Microsoft GPG-nøkkel for pålitelig installasjon av pakken.
Microsoft-depotet er lagt til av raspberrypi-sys-mods-pakken, som inkluderer operativsystemspesifikke skript og innstillinger.
Konfigurasjonen av /etc/apt/sources.list.d endres av post-inst-skriptet og brukes til å konfigurere VSCode-utviklingsmiljøet. Hovedkravene er knyttet til det faktum at Microsoft-arkivet og nøkkelen ble lagt til uten advarsel om brukere.
Ideen bak å legge til Microsoft apt repository er å gjøre det lettere å bruke Visual Studio Code-utviklingsmiljøet.
Offisielt er det fordi de støtter Microsofts IDE (!), Men du får det selv om du installerte det fra et klart bilde og bruker Pi-en din uten et hode uten GUI. Dette betyr at hver gang du gjør en "apt update" på Pi-en din, pinger du en Microsoft-server.
De installerer også Microsoft GPG-nøkkelen som brukes til å signere pakker fra datalageret. Dette kan potensielt føre til et scenario der en oppdatering trekker en avhengighet fra Microsoft-depotet og systemet automatisk vil stole på den pakken.
Depotinstallasjonen gjøres lydløst, uten brukers samtykke, og Raspberry Foundation forberedte ikke brukerne på en slik endring gjennom et dedikert blogginnlegg.
Irriterte brukere kommenterer at eDenne oppførselen er farlig av to grunner:
For det første, når repositories-informasjonen oppdateres når du installerer eller oppdaterer pakker, kartlegger pakkebehandleren alle tilkoblede repositories, det vil si eMicrosoft-serveren akkumulerer informasjon om IP-adressene til alle brukere Raspberry Pi operativsystem, som kan brukes til å opprette en brukerprofil.
En lignende profil kan for eksempel brukes til målrettet reklame når du logger på Microsoft-tjenester fra samme IP.
For det andre er Microsoft-depotet koblet til som fullt pålitelig, til tross for at det ikke er under kontroll av utviklerne av Raspberry Pi-operativsystemet, og brukerne ble ikke bedt om bekreftelse for å legge til Microsoft GPG-nøkkelen. Hvis Microsofts infrastruktur kompromitteres gjennom et slikt lager, kan falske oppdateringer distribueres for å erstatte standardpakker eller erstatte avhengigheter.
Han fortsetter til og med å si det
Dette er måten du gjør ting hele tiden "for lignende problemer" uten å informere eierne av linjen din med enkeltkortdatamaskiner. »Brukere har husket spenningene mellom Linux og Microsoft på grunn av telemetri.
Til slutt bemerkes det at Raspbian-distribusjonen støttet av samfunnet ikke påvirkes av problemet, endringen blir bare lagt til Raspberry Pi OS, en variant av Raspbian vedlikeholdt av Raspberry Pi Foundations.
En annen tilnærming er å blokkere Visual Studio Code hvis du vil fortsette å bruke Raspberry Pi OS. Visual Studio Code er utstyrt med alternativer for telemetri, så mange brukere anser Visual Studio Codium som mer passende.
For å eliminere tilgang til Microsoft-servere i Raspberry Pi-operativsystemet, bare kommenter innholdet i /etc/apt/sources.list.d/vscode.list-filen og slett / etc / apt / klarert nøkkel. Gpg.d / microsoft .gpg.
Også, "127.0.0.1 packages.microsoft.com" kan legges til / etc / hosts for å blokkere forespørsler.
Endelig, hvis du er interessert i å vite mer om det, kan du konsultere følgende lenke.