Raspberry Pi Foundation gizlice bir Microsoft deposu kurdu

Birkaç gün önce, Raspberry OS'deki son güncellemenin bir parçası olarak bir haber yayınlandı, Raspberry Pi Foundation bir Microsoft deposu kurdu sahiplerinin bilgisi olmadan ona güvenen tüm tek kartlı bilgisayarlarda.

Manevra topluluk içinde fark edilmedi saydamlık ve telemetri eksikliğine ve Raspberry Pi kartlarının kullanıcılarına karşı çıkan Linux'un Microsoft deposuna bir çağrı dahil etmeyi tartışıyorlar Raspberry Pi OS'de, ayrıca güvenilir paket kurulumu için bir Microsoft GPG anahtarının eklenmesi.

Microsoft deposu, raspberrypi-sys-mods paketi tarafından eklenir, işletim sistemine özgü komut dosyalarını ve ayarları içerir.

/Etc/apt/sources.list.d'nin yapılandırması post-inst komut dosyası tarafından değiştirilir ve VSCode geliştirme ortamını yapılandırmak için kullanılır. Ana iddialar, Microsoft deposunun ve anahtarının kullanıcıları uyarmadan eklendiği gerçeğiyle ilgilidir.

Microsoft apt deposunu eklemenin arkasındaki fikir, Visual Studio Code geliştirme ortamını kullanmayı kolaylaştırmaktır.

Resmi olarak Microsoft'un IDE'sini (!) Destekledikleri için, ancak bunu net bir görüntüden yükleseniz ve Pi'nizi GUI olmadan bir kafa olmadan kullansanız bile elde edeceksiniz. Bu, Pi'nizde her "apt güncellemesi" yaptığınızda, bir Microsoft sunucusuna ping attığınız anlamına gelir.

Ayrıca, bu depodaki paketleri imzalamak için kullanılan Microsoft GPG anahtarını da yüklerler. Bu, potansiyel olarak bir güncellemenin Microsoft deposundan bir bağımlılık çektiği ve sistemin otomatik olarak bu pakete güveneceği bir senaryoya yol açabilir.

Depo kurulumu, kullanıcının izni olmadan sessizce yapılır ve Raspberry Foundation, özel bir blog yazısı aracılığıyla kullanıcıları böyle bir değişikliğe hazırlamadı.

Rahatsız kullanıcılar, eBu davranış, iki nedenden dolayı tehlikelidir:

İlk olarak, paketleri kurarken veya güncellerken havuz bilgileri güncellendiğinde, paket yöneticisi tüm bağlı depoları, yani eMicrosoft sunucusu, tüm kullanıcıların IP adresleri hakkında bilgi toplar Raspberry Pi işletim sistemi, kullanıcı profili oluşturmak için kullanılabilecek.

Benzer bir profil, örneğin aynı IP'den Microsoft hizmetlerinde oturum açarken hedeflenen reklamlar için kullanılabilir.

İkincisi, Microsoft deposu tamamen güvenilir olarak bağlanmıştırRaspberry Pi işletim sistemi geliştiricilerinden ve kullanıcılarından kontrolünde olmamasına rağmen Microsoft GPG anahtarını eklemek için onay istenmedi. Microsoft'un altyapısı böyle bir depo aracılığıyla tehlikeye atılırsa, standart paketleri değiştirmek veya bağımlılıkları değiştirmek için sahte güncellemeler dağıtılabilir.

Bunu söylemeye bile devam ediyor

Bu, tek kartlı bilgisayar serinizin sahiplerini bilgilendirmeden her zaman "benzer sorunlar için" işlerinizin yoludur. »Kullanıcılar telemetri üzerinden Linux ve Microsoft arasındaki gerilimi hatırladılar.

Son olarak, topluluk tarafından desteklenen Raspbian dağıtımının sorundan etkilenmediği, değişikliğin sadece Raspberry Pi Foundations tarafından sağlanan bir Raspbian çeşidi olan Raspberry Pi OS'ye eklendiği belirtiliyor.

Raspberry Pi OS'yi kullanmaya devam etmek istiyorsanız, başka bir yaklaşım da Visual Studio Code'u engellemektir. Visual Studio Code, telemetri seçenekleriyle donatılmıştır, bu nedenle birçok kullanıcı Visual Studio Codium'u daha uygun bulmaktadır.

Raspberry Pi işletim sistemindeki Microsoft sunucularına erişimi ortadan kaldırmak için, /etc/apt/sources.list.d/vscode.list dosyasının içeriğini yorumlamanız ve / etc / apt / Trusted anahtarını silmeniz yeterlidir. Gpg.d / microsoft .gpg.

Ayrıca, istekleri engellemek için / etc / hosts içine "127.0.0.1 packages.microsoft.com" eklenebilir.

Son olarak, onun hakkında daha fazla bilgi edinmekle ilgileniyorsandanışabilirsin aşağıdaki bağlantı. 


Makalenin içeriği şu ilkelerimize uygundur editoryal etik. Bir hata bildirmek için tıklayın burada.

İlk yorumu siz

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.