Vários dias atrás, foi divulgada a notícia de que, como parte de uma atualização recente no Raspberry OS, a Raspberry Pi Foundation instalou um repositório Microsoft em todos os computadores de placa única que confiaram nele, sem o conhecimento de seus proprietários.
A manobra não passou despercebida na comunidade do Linux que está se preparando para se opor à falta de transparência e telemetria e aos usuários de placas Raspberry Pi estão discutindo, incluindo uma chamada para o repositório da Microsoft no Raspberry Pi OS, além da adição de uma chave Microsoft GPG para instalação confiável do pacote.
O repositório da Microsoft é adicionado pelo pacote raspberrypi-sys-mods, que inclui scripts e configurações específicos do sistema operacional.
A configuração de /etc/apt/sources.list.d é modificada pelo script post-inst e é usado para configurar o ambiente de desenvolvimento VSCode. As principais reivindicações estão relacionadas ao fato de que o repositório e a chave da Microsoft foram adicionados sem avisar os usuários.
A ideia por trás da adição do repositório Microsoft apt é facilitar o uso do ambiente de desenvolvimento do Visual Studio Code.
Oficialmente, é porque eles suportam o IDE da Microsoft (!), Mas você o obterá mesmo se instalá-lo a partir de uma imagem nítida e usar seu Pi sem um cabeçote sem uma GUI. Isso significa que toda vez que você faz uma "atualização do apt" em seu Pi, você está executando um ping em um servidor Microsoft.
Eles também instalam a chave GPG da Microsoft que é usada para assinar pacotes desse repositório. Isso pode levar a um cenário em que uma atualização extrai uma dependência do repositório da Microsoft e o sistema confia automaticamente nesse pacote.
A instalação do repositório é feita silenciosamente, sem o consentimento do usuário, e a Raspberry Foundation não preparou os usuários para tal mudança por meio de uma postagem de blog dedicada.
Usuários irritados comentam que eEste comportamento é perigoso por dois motivos:
Primeiro, sempre que as informações dos repositórios são atualizadas durante a instalação ou atualização de pacotes, o gerenciador de pacotes consulta todos os repositórios conectados, ou seja, eO servidor Microsoft acumula informações sobre os endereços IP de todos os usuários Sistema operacional Raspberry Pi, que pode ser usado para criar um perfil de usuário.
Um perfil semelhante pode ser usado, por exemplo, para publicidade direcionada ao fazer login nos serviços da Microsoft a partir do mesmo IP.
Em segundo lugar, o repositório da Microsoft está conectado como totalmente confiável, apesar do fato de que não está sob o controle dos desenvolvedores do sistema operacional Raspberry Pi e dos usuários não foi solicitada a confirmação para adicionar a chave GPG da Microsoft. Se a infraestrutura da Microsoft for comprometida por meio de tal repositório, atualizações falsas podem ser distribuídas para substituir pacotes padrão ou substituir dependências.
Ele ainda continua a dizer que
Esta é a maneira como você faz as coisas o tempo todo "para problemas semelhantes", sem informar os proprietários de sua linha de computadores de placa única. »Os usuários se lembraram das tensões entre o Linux e a Microsoft em relação à telemetria.
Finalmente, note-se que a distribuição Raspbian suportada pela comunidade não é afetada pelo problema, a mudança é apenas adicionada ao Raspberry Pi OS, uma variante do Raspbian mantida pela Raspberry Pi Foundations.
Outra abordagem é bloquear o código do Visual Studio se você quiser continuar usando o Raspberry Pi OS. O Visual Studio Code é equipado com opções de telemetria, portanto, muitos usuários consideram o Visual Studio Codium mais adequado.
Para eliminar o acesso aos servidores da Microsoft no sistema operacional Raspberry Pi, basta comentar o conteúdo do arquivo /etc/apt/sources.list.d/vscode.list e excluir a chave /etc/pt/confiável. Gpg.d / microsoft .gpg.
Além disso, "127.0.0.1 packages.microsoft.com" pode ser adicionado a / etc / hosts para bloquear solicitações.
Finalmente, se você estiver interessado em saber mais sobre isso, você pode consultar o seguinte link.