Maraming araw na ang nakalilipas ang balita ay inilabas na bilang bahagi ng isang kamakailang pag-update sa Raspberry OS, ang Raspberry Pi Foundation ay nag-install ng isang Microsoft repository sa lahat ng mga solong board computer na pinagkakatiwalaan nito, nang walang kaalaman ng kanilang mga may-ari.
Ang pagmamaniobra ay hindi napansin sa loob ng pamayanan ng Linux na tumataas upang salungatin ang kawalan ng transparency at telemetry at ang mga gumagamit ng Raspberry Pi boards tinatalakay kasama ang isang tawag sa Microsoft repository sa Raspberry Pi OS, kasama ang pagdaragdag ng isang Microsoft GPG key para sa maaasahang pag-install ng package.
Ang Microsoft repository ay idinagdag ng raspberrypi-sys-mods package, na kinabibilangan ng operating script at mga setting na tukoy sa system.
Ang pagsasaayos ng /etc/apt/source.list.d ay binago ng post-inst script at ginagamit upang i-configure ang kapaligiran ng pag-unlad ng VSCode. Ang pangunahing mga paghahabol ay nauugnay sa ang katunayan na ang imbakan ng Microsoft at susi ay idinagdag nang walang babalang mga gumagamit.
Ang ideya sa likod ng pagdaragdag ng apt na imbakan ng Microsoft ay upang gawing mas madali gamitin ang kapaligiran sa pag-unlad ng Visual Studio Code.
Opisyal na ito dahil suportado nila ang IDE ng Microsoft (!), Ngunit makukuha mo ito kahit na na-install mo ito mula sa isang malinaw na imahe at gamitin ang iyong Pi nang walang ulo na walang GUI. Nangangahulugan ito na sa tuwing gumawa ka ng isang "apt update" sa iyong Pi, nagko-ping ka sa isang server ng Microsoft.
Nag-install din sila ng susi ng Microsoft GPG na ginagamit upang mag-sign mga pakete mula sa lalagyan na iyon. Maaari itong humantong sa isang senaryo kung saan ang isang pag-update ay kumukuha ng isang pagtitiwala mula sa imbakan ng Microsoft at awtomatikong magtitiwala ang system sa package na iyon.
Ang pag-install ng repository ay tapos na tahimik, nang walang pahintulot ng gumagamit, at hindi inihanda ng Raspberry Foundation ang mga gumagamit para sa naturang pagbabago sa pamamagitan ng isang nakatuong post sa blog.
Inis na gumagamit ay nagkomento na eMapanganib ang pag-uugali na ito sa dalawang kadahilanan:
Una, tuwing nai-update ang impormasyon ng mga repository kapag nag-i-install o nag-a-update ng mga pakete, binobotohan ng manager ng package ang lahat ng mga magkakakonektang repository, iyon ay, eNag-iipon ang server ng Microsoft ng impormasyon tungkol sa mga IP address ng lahat ng mga gumagamit Operating system ng Raspberry Pi, na maaaring magamit upang lumikha ng isang profile ng gumagamit.
Maaaring magamit ang isang katulad na profile, halimbawa, para sa naka-target na advertising kapag nag-log in sa mga serbisyo ng Microsoft mula sa parehong IP.
Pangalawa, ang Microsoft repository ay konektado bilang ganap na mapagkakatiwalaan, sa kabila ng katotohanang hindi ito nasa ilalim ng kontrol ng mga developer ng operating system ng Raspberry Pi at ang mga gumagamit ay hindi hiningi para sa kumpirmasyon upang idagdag ang Microsoft GPG key. Kung ang imprastraktura ng Microsoft ay nakompromiso sa pamamagitan ng naturang lalagyan, ang mga pekeng pag-update ay maaaring ipamahagi upang mapalitan ang mga karaniwang package o palitan ang mga dependency.
Nagpatuloy pa rin siya sa pagsabi nun
Ito ang paraan ng iyong paggawa ng mga bagay sa lahat ng oras "para sa mga katulad na problema" nang hindi ipinapaalam sa mga may-ari ng iyong linya ng mga solong board computer. »Naalala ng mga gumagamit ang tensyon sa pagitan ng Linux at Microsoft sa telemetry.
Sa wakas, nabanggit na ang pamamahagi ng Raspbian na sinusuportahan ng pamayanan ay hindi apektado ng problema, ang pagbabago ay idinagdag lamang sa Raspberry Pi OS, isang pagkakaiba-iba ng Raspbian na pinapanatili ng Mga Raspberry Pi Foundation.
Ang isa pang diskarte ay upang harangan ang Visual Studio Code kung nais mong magpatuloy sa paggamit ng Raspberry Pi OS. Ang Visual Studio Code ay nilagyan ng mga pagpipilian sa telemetry, kaya maraming mga gumagamit ang nahanap na mas angkop ang Visual Studio Codium.
Upang maalis ang pag-access sa mga server ng Microsoft sa operating system ng Raspberry Pi, simpleng puna ang nilalaman ng /etc/apt/source.list.d/vscode.list file at tanggalin ang / etc / apt / pinagkakatiwalaang key. Gpg.d / microsoft .gpg.
Gayundin, ang "127.0.0.1 packages.microsoft.com" ay maaaring maidagdag sa / etc / host upang harangan ang mga kahilingan.
Sa wakas, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta ang sumusunod na link.