Несколько дней назад появилась новость о том, что в рамках недавнего обновления Raspberry OS, Фонд Raspberry Pi установил репозиторий Microsoft на всех одноплатных компьютерах, которые ему доверяли, без ведома их владельцев.
Маневр не остался незамеченным в сообществе. Linux, который выступает против отсутствия прозрачности и телеметрии, и пользователей плат Raspberry Pi обсуждаем в том числе звонок в репозиторий Microsoft на Raspberry Pi OS, а также добавлен ключ Microsoft GPG для надежной установки пакета.
Репозиторий Microsoft добавлен пакетом raspberrypi-sys-mods, который включает сценарии и настройки для конкретной операционной системы.
Конфигурация /etc/apt/sources.list.d изменяется сценарием post-inst и используется для настройки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft были добавлены без предупреждения пользователей.
Идея добавления репозитория Microsoft apt состоит в том, чтобы упростить использование среды разработки Visual Studio Code.
Это официально, потому что они поддерживают IDE от Microsoft (!), Но вы получите его, даже если вы установили его из чистого образа и использовали свой Pi без головы без графического интерфейса. Это означает, что каждый раз, когда вы делаете «подходящее обновление» на своем Pi, вы отправляете эхо-запрос на сервер Microsoft.
Они также устанавливают ключ Microsoft GPG, который используется для подписи пакетов из этого репозитория. Это потенциально может привести к сценарию, когда обновление извлекает зависимость из репозитория Microsoft, и система автоматически доверяет этому пакету.
Установка репозитория выполняется в автоматическом режиме, без согласия пользователя, и Raspberry Foundation не готовила пользователей к такому изменению через специальный пост в блоге.
Раздраженные пользователи отмечают, что eТакое поведение опасно по двум причинам:
Во-первых, всякий раз, когда информация о репозиториях обновляется при установке или обновлении пакетов, менеджер пакетов опрашивает все подключенные репозитории, то есть eСервер Microsoft накапливает информацию об IP-адресах всех пользователей. Операционная система Raspberry Pi, которую можно использовать для создания профиля пользователя.
Подобный профиль можно использовать, например, для таргетированной рекламы при входе в сервисы Microsoft с одного IP.
Во-вторых, репозиторий Microsoft подключен как полностью заслуживающий доверия, несмотря на то, что он не находится под контролем разработчиков операционной системы Raspberry Pi, и пользователям не предлагалось подтвердить добавление ключа GPG от Microsoft. Если инфраструктура Microsoft скомпрометирована через такой репозиторий, могут распространяться поддельные обновления для замены стандартных пакетов или замены зависимостей.
Он даже продолжает говорить, что
Таким образом вы все время делаете что-то «для похожих проблем», не сообщая владельцам вашей линейки одноплатных компьютеров. »Пользователи напомнили о трениях между Linux и Microsoft из-за телеметрии.
Наконец, следует отметить, что дистрибутив Raspbian, поддерживаемый сообществом, не затронут этой проблемой, изменение добавлено только в ОС Raspberry Pi, вариант Raspbian, поддерживаемый Raspberry Pi Foundations.
Другой подход - заблокировать код Visual Studio, если вы хотите продолжить использование ОС Raspberry Pi. Visual Studio Code поддерживает параметры телеметрии, поэтому многие пользователи считают Visual Studio Codium более подходящей.
Чтобы исключить доступ к серверам Microsoft в операционной системе Raspberry Pi, просто прокомментируйте содержимое файла /etc/apt/sources.list.d/vscode.list и удалите / etc / apt / trusted key. Gpg.d / microsoft .gpg.
Кроме того, «127.0.0.1 packages.microsoft.com» можно добавить в / etc / hosts для блокировки запросов.
Наконец, если вам интересно узнать об этом большевы можете проконсультироваться по следующей ссылке.