Kilka dni temu pojawiła się wiadomość, że w ramach ostatniej aktualizacji w Raspberry OS, Fundacja Raspberry Pi zainstalowała repozytorium Microsoft na wszystkich komputerach jednopłytkowych, które jej zaufały, bez wiedzy ich właścicieli.
Manewr nie przeszedł niezauważony w społeczności Linuksa, który wkracza do walki z brakiem przejrzystości i telemetrii oraz użytkownikami płyty Raspberry Pi dyskutują, w tym wezwanie do repozytorium Microsoft na Raspberry Pi OS oraz dodanie klucza Microsoft GPG dla niezawodnej instalacji pakietu.
Repozytorium Microsoft jest dodawane przy użyciu pakietu raspberrypi-sys-mods, który obejmuje skrypty i ustawienia specyficzne dla systemu operacyjnego.
Konfiguracja /etc/apt/sources.list.d jest modyfikowana przez skrypt post-inst i służy do konfigurowania środowiska programistycznego VSCode. Główne twierdzenia są związane z tym, że repozytorium Microsoft i klucz zostały dodane bez ostrzeżenia użytkowników.
Ideą dodania repozytorium apt firmy Microsoft jest ułatwienie korzystania ze środowiska programistycznego Visual Studio Code.
Oficjalnie to dlatego, że obsługują IDE Microsoftu (!), Ale dostaniesz to, nawet jeśli zainstalujesz go z wyraźnego obrazu i użyjesz swojego Pi bez głowy bez GUI. Oznacza to, że za każdym razem, gdy wykonujesz „apt update” na swoim Pi, wysyłasz ping do serwera Microsoft.
Instalują także klucz Microsoft GPG używany do podpisywania pakietów z tego repozytorium. Może to potencjalnie prowadzić do scenariusza, w którym aktualizacja pobiera zależność z repozytorium firmy Microsoft, a system automatycznie ufałby temu pakietowi.
Instalacja repozytorium odbywa się po cichu, bez zgody użytkownika, a Raspberry Foundation nie przygotowała użytkowników na taką zmianę poprzez dedykowany wpis na blogu.
Zirytowani użytkownicy komentują, że eTakie zachowanie jest niebezpieczne z dwóch powodów:
Po pierwsze, za każdym razem, gdy informacje o repozytoriach są aktualizowane podczas instalowania lub aktualizowania pakietów, menedżer pakietów sonduje wszystkie podłączone repozytoria, to znaczy eSerwer Microsoft gromadzi informacje o adresach IP wszystkich użytkowników System operacyjny Raspberry Pi, za pomocą którego można utworzyć profil użytkownika.
Podobny profil można wykorzystać na przykład do ukierunkowanej reklamy podczas logowania się do usług Microsoft z tego samego adresu IP.
Po drugie, repozytorium Microsoft jest połączone jako w pełni godne zaufania, mimo że nie jest pod kontrolą twórców systemu operacyjnego Raspberry Pi, a użytkownicy nie byli proszeni o potwierdzenie dodania klucza Microsoft GPG. Jeśli infrastruktura firmy Microsoft zostanie naruszona przez takie repozytorium, fałszywe aktualizacje mogą być rozpowszechniane w celu zastąpienia standardowych pakietów lub zależności.
Mówi nawet dalej
To jest sposób, w jaki cały czas robisz rzeczy „dla podobnych problemów” bez informowania właścicieli linii komputerów jednopłytkowych. »Użytkownicy przypomnieli sobie napięcia między Linuksem a Microsoftem związane z telemetrią.
Na koniec należy zauważyć, że dystrybucja Raspbian obsługiwana przez społeczność nie jest dotknięta problemem, zmiana została dodana tylko do Raspberry Pi OS, wariantu Raspbian obsługiwanego przez Raspberry Pi Foundations.
Innym podejściem jest zablokowanie Visual Studio Code, jeśli chcesz nadal korzystać z Raspberry Pi OS. Visual Studio Code jest wyposażony w opcje telemetrii, więc wielu użytkowników uważa, że Visual Studio Codium jest bardziej odpowiedni.
Aby wyeliminować dostęp do serwerów Microsoft w systemie operacyjnym Raspberry Pi, po prostu skomentuj zawartość pliku /etc/apt/sources.list.d/vscode.list i usuń klucz / etc / apt / trust key. Gpg.d / microsoft .gpg.
Ponadto do / etc / hosts można dodać adres „127.0.0.1 packages.microsoft.com” w celu blokowania żądań.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz się skonsultować poniższy link.