Birkaç gün önce Raspberry OS'deki son güncellemenin bir parçası olarak haber duyuruldu. Raspberry Pi Vakfı bir Microsoft deposu kurdu sahiplerinin bilgisi olmadan, ona güvenen tüm tek kartlı bilgisayarlarda.
Bu manevra toplumun gözünden kaçmadı Şeffaflık ve telemetri eksikliğine ve Raspberry Pi kartlarının kullanıcılarına karşı çıkmak için adım atan Linux'un Microsoft deposuna çağrı yapılmasını tartışıyorlar Raspberry Pi OS'de paketlerin güvenilir kurulumu için bir Microsoft GPG anahtarının eklenmesi.
Microsoft deposu raspberrypi-sys-mods paketi kullanılarak eklenirişletim sistemine özgü komut dosyalarını ve yapılandırmaları içerir.
/etc/apt/sources.list.d yapılandırması inst sonrası komut dosyası tarafından değiştirildi ve VSCode geliştirme ortamını yapılandırmak için kullanılır. Ana iddialar, Microsoft deposunun ve anahtarının kullanıcıları uyarmadan eklendiği gerçeğiyle ilgilidir.
Microsoft'un uygun deposunu eklemenin ardındaki fikir, Visual Studio Code geliştirme ortamının kullanımını kolaylaştırmaktır.
Resmi olarak bunun nedeni Microsoft IDE'yi (!) desteklemeleridir, ancak onu net bir görüntüden yüklemiş olsanız ve başsız Pi'nizi GUI olmadan kullansanız bile onu alacaksınız. Bu, Pi'nizde her "uygun güncelleme" gerçekleştirdiğinizde bir Microsoft sunucusuna ping attığınız anlamına gelir.
Ayrıca bu depodaki paketleri imzalamak için kullanılan Microsoft GPG anahtarını da yüklerler. Bu, potansiyel olarak bir güncellemenin Microsoft deposundan bir bağımlılık çektiği ve sistemin otomatik olarak bu pakete güvendiği bir senaryoya yol açabilir.
Deponun kurulumu kullanıcının izni olmadan sessizce yapılıyor ve Raspberry Vakfı, kullanıcıları böyle bir değişikliğe özel bir blog yazısı aracılığıyla hazırlamadı.
Sinirli kullanıcılar şunu söylüyorBu davranış iki nedenden dolayı tehlikelidir:
İlk olarak, paketleri kurarken veya güncellerken depo bilgileri güncellendiğinde, paket yöneticisi tüm bağlı depoları yoklar;Microsoft sunucusu tüm kullanıcıların IP adresleri hakkında bilgi toplar Kullanıcı profili oluşturmak için kullanılabilen Raspberry Pi işletim sisteminin.
Benzer bir profil, örneğin aynı IP'den Microsoft hizmetlerine giriş yaparken hedefli reklamcılık için kullanılabilir.
İkinci olarak, Microsoft deposu tamamen güvenilir olarak bağlanırRaspberry Pi işletim sistemi kontrolünde olmamasına rağmen geliştiricilerden ve kullanıcılardan Microsoft GPG anahtarını eklemek için onay istenmedi. Böyle bir depo aracılığıyla Microsoft altyapısının güvenliği ihlal edilirse, standart paketleri değiştirmek veya bağımlılıkları değiştirmek için sahte güncellemeler dağıtmak mümkündür.
Hatta bunu söylemeye devam ediyor
Tek kartlı bilgisayar serisinin sahiplerine haber vermeden, "benzer sorunlar için" her zaman böyle şeyler yapıyor. »Kullanıcılar Linux ile Microsoft arasında telemetri konusunda yaşanan gerilimi hatırladılar.
Son olarak topluluk destekli Raspbian dağıtımının sorundan etkilenmediği, değişikliğin yalnızca Raspberry Pi Vakıfları tarafından sürdürülen Raspbian'ın bir çeşidi olan Raspberry Pi OS'ye eklendiği belirtiliyor.
Raspberry Pi OS'yi kullanmaya devam etmek istiyorsanız başka bir yaklaşım Visual Studio Code'u kilitlemektir. Visual Studio Code telemetri seçenekleriyle donatılmıştır; bu nedenle birçok kullanıcı Visual Studio Codium'u kullanmayı daha iyi bulmaktadır.
Raspberry Pi işletim sistemindeki Microsoft sunucularına erişimi ortadan kaldırmak için, /etc/apt/sources.list.d/vscode.list dosyasının içeriğini açıklamanız ve /etc/apt/trusted anahtarını silmeniz yeterlidir. gpg.d/ microsoft.gpg.
Ayrıca istekleri engellemek için /etc/hosts dosyasına "127.0.0.1 package.microsoft.com" eklenebilir.
Son olarak, onun hakkında daha fazla bilgi edinmekle ilgileniyorsandanışabilirsin aşağıdaki bağlantı.