Vài ngày trước, tin tức đã được phát hành rằng như một phần của bản cập nhật gần đây trong Hệ điều hành Raspberry, Raspberry Pi Foundation đã cài đặt kho lưu trữ của Microsoft trên tất cả các máy tính bảng tin cậy mà không cần chủ nhân của chúng biết.
Việc điều động đã không được chú ý trong cộng đồng của Linux đang đẩy mạnh phản đối sự thiếu minh bạch và đo lường từ xa và người dùng bảng Raspberry Pi đang thảo luận về việc bao gồm một cuộc gọi đến kho lưu trữ của Microsoft trên Hệ điều hành Raspberry Pi, cộng với việc bổ sung khóa GPG của Microsoft để cài đặt gói đáng tin cậy.
Kho lưu trữ của Microsoft được thêm vào bởi gói raspberrypi-sys-mods, bao gồm các tập lệnh và cài đặt dành riêng cho hệ điều hành.
Cấu hình của /etc/apt/sources.list.d được sửa đổi bởi tập lệnh post-inst và được sử dụng để cấu hình môi trường phát triển VSCode. Các tuyên bố chính liên quan đến thực tế là kho lưu trữ và khóa của Microsoft đã được thêm vào mà không cảnh báo người dùng.
Ý tưởng đằng sau việc thêm kho lưu trữ apt của Microsoft là làm cho việc sử dụng môi trường phát triển Visual Studio Code dễ dàng hơn.
Đó là chính thức vì họ hỗ trợ IDE của Microsoft (!), Nhưng bạn sẽ nhận được nó ngay cả khi bạn đã cài đặt nó từ một hình ảnh rõ ràng và sử dụng Pi của bạn mà không có đầu mà không có GUI. Điều này có nghĩa là mỗi khi bạn thực hiện "cập nhật apt" trên Pi của mình, bạn đang ping một máy chủ của Microsoft.
Họ cũng cài đặt khóa Microsoft GPG được sử dụng để ký các gói từ kho lưu trữ đó. Điều này có thể dẫn đến tình huống trong đó bản cập nhật lấy một phần phụ thuộc từ kho lưu trữ của Microsoft và hệ thống sẽ tự động tin cậy gói đó.
Việc cài đặt kho lưu trữ được thực hiện một cách âm thầm, không có sự đồng ý của người dùng và Raspberry Foundation đã không chuẩn bị cho người dùng sự thay đổi như vậy thông qua một bài đăng trên blog chuyên dụng.
Người dùng bức xúc nhận xét rằng đHành vi này nguy hiểm vì hai lý do:
Đầu tiên, bất cứ khi nào thông tin về kho được cập nhật khi cài đặt hoặc cập nhật gói, trình quản lý gói sẽ thăm dò tất cả các kho được kết nối, nghĩa là eMáy chủ Microsoft tích lũy thông tin về địa chỉ IP của tất cả người dùng Hệ điều hành Raspberry Pi, có thể được sử dụng để tạo hồ sơ người dùng.
Ví dụ, một cấu hình tương tự có thể được sử dụng cho quảng cáo được nhắm mục tiêu khi đăng nhập vào các dịch vụ của Microsoft từ cùng một IP.
Thứ hai, kho lưu trữ của Microsoft được kết nối hoàn toàn đáng tin cậy, mặc dù thực tế là nó không nằm dưới sự kiểm soát của các nhà phát triển hệ điều hành Raspberry Pi và người dùng đã không được yêu cầu xác nhận để thêm khóa Microsoft GPG. Nếu cơ sở hạ tầng của Microsoft bị xâm phạm thông qua một kho lưu trữ như vậy, các bản cập nhật không có thật có thể được phân phối để thay thế các gói tiêu chuẩn hoặc thay thế các gói phụ thuộc.
Anh ấy thậm chí còn nói rằng
Đây là cách bạn làm mọi việc "cho các vấn đề tương tự" mà không thông báo cho chủ sở hữu dòng máy tính bảng đơn của bạn. »Người dùng đã nhớ lại những căng thẳng giữa Linux và Microsoft trong vấn đề đo từ xa.
Cuối cùng, cần lưu ý rằng bản phân phối Raspbian được cộng đồng hỗ trợ không bị ảnh hưởng bởi sự cố, thay đổi chỉ được thêm vào Hệ điều hành Raspberry Pi, một biến thể của Raspbian được duy trì bởi Raspberry Pi Foundations.
Một cách tiếp cận khác là chặn Visual Studio Code nếu bạn muốn tiếp tục sử dụng Hệ điều hành Raspberry Pi. Visual Studio Code được trang bị tùy chọn đo từ xa, vì vậy nhiều người dùng cho rằng Visual Studio Codium sẽ phù hợp hơn.
Để loại bỏ quyền truy cập vào các máy chủ của Microsoft trong hệ điều hành Raspberry Pi, chỉ cần nhận xét nội dung của tệp /etc/apt/sources.list.d/vscode.list và xóa khóa / etc / apt / trust. gpg.d / microsoft .gpg.
Ngoài ra, "127.0.0.1 package.microsoft.com" có thể được thêm vào / etc / hosts để chặn yêu cầu.
Cuối cùng, nếu bạn muốn biết thêm về nó, bạn có thể tham khảo liên kết sau.