Raspberry Pi Foundation秘密安裝了Microsoft存儲庫

幾天前,有消息發布,這是Raspberry OS最新更新的一部分, Raspberry Pi Foundation安裝了Microsoft存儲庫 在所有信任它的單板計算機上,而其所有者都不知道。

社區內的動作並沒有被忽視 反對缺乏透明度和遙測技術以及Raspberry Pi板用戶的Linux 正在討論包括對Microsoft存儲庫的調用 在Raspberry Pi OS上運行,另外還添加了Microsoft GPG密鑰以實現可靠的軟件包安裝。

Microsoft存儲庫由raspberrypi-sys-mods軟件包添加,其中包括特定於操作系統的腳本和設置。

/etc/apt/sources.list.d的配置由post-inst腳本修改 並用於配置VSCode開發環境。 主要聲明與以下事實有關:Microsoft存儲庫和密鑰是在沒有警告用戶的情況下添加的。

添加Microsoft apt信息庫的想法是使使用Visual Studio Code開發環境更加容易。

正式地,這是因為它們支持Microsoft的IDE(!),但是即使從清晰的映像安裝它並使用沒有GUI的無頭Pi也可以得到它。 這意味著,每次在Pi上執行“ apt更新”時,便會ping通Microsoft服務器。

他們還安裝了Microsoft GPG密鑰,該密鑰用於對該存儲庫中的程序包進行簽名。 這可能會導致以下情況:更新從Microsoft存儲庫中提取依賴項,並且系統將自動信任該程序包。

在沒有用戶同意的情況下,存儲庫安裝會以靜默方式完成,並且Raspberry Foundation並沒有通過專門的博客文章讓用戶為這種更改做好準備。

惱火的用戶評論說此行為很危險,原因有兩個:

首先,每當安裝或更新軟件包時更新存儲庫信息時,軟件包管理器都會輪詢所有連接的存儲庫,即Microsoft服務器累積有關所有用戶的IP地址的信息 Raspberry Pi操作系統,可用於創建用戶配置文件。

從相同IP登錄到Microsoft服務時,可以將類似的配置文件用於目標廣告。

其次,Microsoft存儲庫以完全可信的方式連接,儘管事實上它不受Raspberry Pi操作系統的控制,但開發人員和用戶均未要求用戶確認添加Microsoft GPG密鑰。 如果Microsoft的基礎結構通過此類存儲庫受到破壞,則可以分發偽造的更新來替換標準軟件包或替換依賴項。

他甚至繼續說

這是您始終“針對類似問題”進行操作的方式,而無需通知您的單板計算機產品線的所有者。 »用戶回想起Linux和Microsoft之間在遙測方面的緊張關係。

最後,請注意,社區支持的Raspbian發行版不受此問題的影響,所做的更改僅添加到Raspberry Pi OS(Raspberry Pi Foundations維護的Raspbian的變體)中。

如果您想繼續使用Raspberry Pi OS,另一種方法是阻止Visual Studio Code。 Visual Studio Code配備了遙測選項,因此許多用戶發現Visual Studio Codium更合適。

要消除對Raspberry Pi操作系統中Microsoft服務器的訪問,只需註釋/etc/apt/sources.list.d/vscode.list文件的內容,然後刪除/ etc / apt /受信任的密鑰。 .gpg。

另外,可以將“ 127.0.0.1packages.microsoft.com”添加到/ etc / hosts以阻止請求。

最後, 如果您有興趣了解更多信息,你可以諮詢 以下鏈接。 


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。