Cu câteva zile în urmă s-a anunțat știrea că, ca parte a unei actualizări recente a sistemului de operare Raspberry, Fundația Raspberry Pi a instalat un depozit Microsoft pe toate computerele cu o singură placă care se bazau pe el, fără știrea proprietarilor lor.
Manevra nu a trecut neobservată în cadrul comunității Linux care se apropie de lipsa de transparență și de telemetrie și de utilizatorii plăcilor Raspberry Pi ei discută despre includerea unui apel către depozitul Microsoft pe Raspberry Pi OS, plus adăugarea unei chei Microsoft GPG pentru instalarea fiabilă a pachetelor.
Depozitul Microsoft este adăugat folosind pachetul raspberrypi-sys-mods, care include scripturi și configurații specifice sistemului de operare.
Configurația /etc/apt/sources.list.d este modificată de scriptul post-inst și este utilizat pentru a configura mediul de dezvoltare VSCode. Principalele afirmații sunt legate de faptul că depozitul și cheia Microsoft au fost adăugate fără avertizare utilizatorilor.
Ideea din spatele adăugării depozitului de apt Microsoft este de a face mediul de dezvoltare Visual Studio Code mai ușor de utilizat.
Oficial, pentru că acceptă IDE-ul Microsoft (!), dar îl veți obține chiar dacă îl instalați dintr-o imagine clară și utilizați Pi-ul fără cap fără GUI. Aceasta înseamnă că de fiecare dată când efectuați o „actualizare adecvată” pe Pi, faceți ping la un server Microsoft.
De asemenea, instalează cheia Microsoft GPG care este utilizată pentru a semna pachetele din acel depozit. Acest lucru poate duce la un scenariu în care o actualizare extrage o dependență din depozitul Microsoft și sistemul ar avea automat încredere în acel pachet.
Instalarea depozitului se face în tăcere, fără acordul utilizatorului, iar Fundația Raspberry nu a pregătit utilizatorii pentru o astfel de schimbare printr-o postare de blog dedicată.
Utilizatorii enervați comentează astaAcest comportament este periculos din două motive:
În primul rând, ori de câte ori informațiile din depozit sunt actualizate la instalarea sau actualizarea pachetelor, managerul de pachete interogează toate depozitele conectate, adică eServerul Microsoft acumulează informații despre adresele IP ale tuturor utilizatorilor a sistemului de operare Raspberry Pi, care poate fi folosit pentru a crea un profil de utilizator.
Un profil similar poate fi utilizat, de exemplu, pentru publicitate direcționată atunci când vă conectați la serviciile Microsoft de pe același IP.
În al doilea rând, depozitul Microsoft este conectat ca fiind complet de încredere, în ciuda faptului că nu se află sub controlul dezvoltatorilor sistemului de operare Raspberry Pi și utilizatorilor nu li s-a cerut confirmarea pentru adăugarea cheii Microsoft GPG. Dacă infrastructura Microsoft este compromisă printr-un astfel de depozit, este posibil să se distribuie actualizări false pentru a înlocui pachetele standard sau a înlocui dependențele.
Ba chiar continuă să spună asta
Acesta este modul în care face lucrurile tot timpul „pentru probleme similare” fără a-i informa pe proprietarii liniei sale de computere cu o singură placă. »Utilizatorii au reamintit tensiunile dintre Linux și Microsoft cu privire la telemetrie.
În cele din urmă, se observă că distribuția Raspbian susținută de comunitate nu este afectată de problemă, modificarea fiind adăugată doar la sistemul de operare Raspberry Pi, o variantă de Raspbian întreținută de Raspberry Pi Foundations.
O altă abordare este să blocați Visual Studio Code dacă doriți să continuați să utilizați sistemul de operare Raspberry Pi. Visual Studio Code este echipat cu opțiuni de telemetrie, motiv pentru care mulți utilizatori consideră că este mai bine să folosească Visual Studio Codium.
Pentru a elimina accesul la serverele Microsoft de pe sistemul de operare Raspberry Pi, pur și simplu comentați conținutul fișierului /etc/apt/sources.list.d/vscode.list și ștergeți cheia /etc/apt/trusted. gpg.d/ microsoft.gpg.
În plus, „127.0.0.1 packages.microsoft.com” poate fi adăugat la /etc/ hosts pentru a bloca solicitările.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta, puteți consulta următorul link.