Pred niekoľkými dňami vyšla správa, že ako súčasť nedávnej aktualizácie v operačnom systéme Raspberry OS nadácia Raspberry Pi nainštalovala úložisko spoločnosti Microsoft na všetkých jednodeskových počítačoch, ktoré tomu dôverovali, bez vedomia ich majiteľov.
Manéver nezostal v komunite bez povšimnutia systému Linux, ktorý sa stavia proti nedostatku transparentnosti a telemetrie a používateľom dosiek Raspberry Pi diskutujú o volaní do úložiska Microsoft na Raspberry Pi OS, plus pridanie kľúča Microsoft GPG pre spoľahlivú inštaláciu balíka.
Repozitár Microsoft pridáva balík raspberrypi-sys-mods, ktorý obsahuje skripty a nastavenia špecifické pre operačný systém.
Konfigurácia /etc/apt/sources.list.d je upravená skriptom po inštalácii a slúži na konfiguráciu vývojového prostredia VSCode. Hlavné tvrdenia súvisia so skutočnosťou, že úložisko a kľúč spoločnosti Microsoft boli pridané bez varovania používateľov.
Cieľom pridania úložiska apt spoločnosti Microsoft je uľahčenie používania vývojového prostredia Visual Studio Code.
Je to oficiálne preto, lebo podporujú Microsoft IDE (!), Ale získate ho, aj keď ste si ho nainštalovali z čistého obrazu a používali svoje Pi bez hlavy bez GUI. To znamená, že zakaždým, keď na svojom počítači Pi vykonáte „trefnú aktualizáciu“, pingete na server Microsoft.
Nainštalujú tiež kľúč Microsoft GPG, ktorý sa používa na podpisovanie balíkov z daného úložiska. To môže potenciálne viesť k scenáru, keď aktualizácia vytiahne závislosť z úložiska Microsoft a systém by tomuto balíku automaticky dôveroval.
Inštalácia úložiska sa deje ticho, bez súhlasu používateľa a organizácia Raspberry Foundation nepripravila používateľov na takúto zmenu prostredníctvom vyhradeného blogového príspevku.
Naštvaní používatelia to komentujú naprToto správanie je nebezpečné z dvoch dôvodov:
Najskôr vždy, keď sa pri inštalácii alebo aktualizácii balíkov aktualizujú informácie o úložiskách, správca balíkov požiada o pripojenie všetky pripojené úložiská, tj.Server Microsoft zhromažďuje informácie o adresách IP všetkých používateľov Operačný systém Raspberry Pi, pomocou ktorého je možné vytvoriť užívateľský profil.
Podobný profil je možné použiť napríklad na cielenú reklamu pri prihlasovaní do služieb spoločnosti Microsoft z rovnakej IP adresy.
Po druhé, archív spoločnosti Microsoft je pripojený ako úplne dôveryhodný, napriek skutočnosti, že to nie je pod kontrolou operačného systému Raspberry Pi, vývojári a používatelia neboli požiadaní o potvrdenie pridania kľúča Microsoft GPG. Ak je infraštruktúra spoločnosti Microsoft ohrozená prostredníctvom takéhoto úložiska, môžu sa distribuovať falošné aktualizácie, ktoré nahradia štandardné balíčky alebo nahradia závislosti.
Dokonca to hovorí ďalej
Takto neustále robíte veci „pre podobné problémy“ bez toho, aby ste informovali majiteľov vášho radu jednodeskových počítačov. »Používatelia si prostredníctvom telemetrie pripomenuli napätie medzi systémami Linux a Microsoft.
Na záver je potrebné poznamenať, že distribúcia Raspbian podporovaná komunitou nie je problémom ovplyvnená, zmena je pridaná iba do Raspberry Pi OS, variantu Raspbian udržiavaného Raspberry Pi Foundations.
Ďalším prístupom je blokovanie Visual Studio Code, ak chcete naďalej používať Raspberry Pi OS. Visual Studio Code je vybavený možnosťami telemetrie, takže veľa používateľov považuje Visual Studio Codium za vhodnejšie.
Ak chcete vylúčiť prístup k serverom Microsoft v operačnom systéme Raspberry Pi, jednoducho okomentujte obsah súboru /etc/apt/sources.list.d/vscode.list a odstráňte kľúč / etc / apt / trusted. Gpg.d / microsoft .gpg.
Na server / etc / hosts je tiež možné pridať „127.0.0.1 packages.microsoft.com“, ktorý blokuje požiadavky.
konečne, ak máte záujem dozvedieť sa o tom viac, môžete sa poradiť nasledujúci odkaz.