För flera dagar sedan släpptes nyheten att som en del av en nyligen uppdaterad uppdatering i Raspberry OS, Raspberry Pi Foundation installerade ett Microsoft-arkiv på alla enskilda kretskortdatorer som litade på det, utan deras ägares vetskap.
Manöveren har inte gått obemärkt förbi i samhället av Linux som intensifierar för att motsätta sig bristen på öppenhet och telemetri och användarna av Raspberry Pi-kort diskuterar inklusive ett samtal till Microsoft-arkivet på Raspberry Pi OS, plus tillägg av en Microsoft GPG-nyckel för tillförlitlig paketinstallation.
Microsoft-arkivet läggs till av paketet raspberrypi-sys-mods, som inkluderar operativsystemspecifika skript och inställningar.
Konfigurationen av /etc/apt/sources.list.d ändras av postinst-scriptet och används för att konfigurera VSCode-utvecklingsmiljön. Huvudanspråken är relaterade till det faktum att Microsofts arkiv och nyckel har lagts till utan att användare varnas.
Tanken bakom att lägga till Microsoft apt-förvaret är att göra det lättare att använda Visual Studio Code-utvecklingsmiljön.
Officiellt beror det på att de stöder Microsofts IDE (!), Men du får det även om du installerade det från en tydlig bild och använder din Pi utan huvud utan GUI. Det betyder att varje gång du gör en "apt-uppdatering" på din Pi, pingar du en Microsoft-server.
De installerar också Microsoft GPG-nyckeln som används för att signera paket från det förvaret. Detta kan potentiellt leda till ett scenario där en uppdatering drar ett beroende från Microsoft-arkivet och systemet automatiskt litar på det paketet.
Förvarets installation görs tyst, utan användarens medgivande, och Raspberry Foundation förberedde inte användarna för en sådan förändring genom ett dedikerat blogginlägg.
Irriterade användare kommenterar att eDetta beteende är farligt av två skäl:
För det första, när förvaringsinformationen uppdateras vid installation eller uppdatering av paket, kartlägger pakethanteraren alla anslutna förvar, det vill säga eMicrosofts server samlar information om alla användares IP-adresser Raspberry Pi operativsystem, som kan användas för att skapa en användarprofil.
En liknande profil kan användas till exempel för riktad reklam när du loggar in på Microsoft-tjänster från samma IP.
För det andra är Microsoft-förvaret anslutet som fullt pålitligt, trots att det inte är under kontroll av Raspberry Pi-operativsystemutvecklare och användare ombads inte om bekräftelse för att lägga till Microsoft GPG-nyckeln. Om Microsofts infrastruktur äventyras genom ett sådant arkiv kan falska uppdateringar distribueras för att ersätta standardpaket eller ersätta beroenden.
Han fortsätter till och med att säga det
Detta är hur du gör saker hela tiden "för liknande problem" utan att informera ägarna av din linje med enstaka kretskortdatorer. »Användare har erinrat om spänningarna mellan Linux och Microsoft genom telemetri.
Slutligen noteras det att Raspbian-distributionen som stöds av samhället inte påverkas av problemet, ändringen läggs bara till Raspberry Pi OS, en variant av Raspbian som underhålls av Raspberry Pi Foundations.
Ett annat tillvägagångssätt är att blockera Visual Studio-kod om du vill fortsätta använda Raspberry Pi OS. Visual Studio Code är utrustad med alternativ för telemetri, så många användare tycker att Visual Studio Codium är mer lämpligt.
För att eliminera åtkomst till Microsofts servrar i operativsystemet Raspberry Pi, kommenterar du bara innehållet i /etc/apt/sources.list.d/vscode.list-filen och tar bort / etc / apt / betrodd nyckel. Gpg.d / microsoft .gpg.
Dessutom kan "127.0.0.1 packages.microsoft.com" läggas till / etc / hosts för att blockera förfrågningar.
Slutligen, om du är intresserad av att veta mer om detkan du rådfråga följande länk.