幾天前,有消息發布,這是Raspberry OS最新更新的一部分, Raspberry Pi Foundation安裝了Microsoft存儲庫 在所有信任它的單板計算機上,而其所有者都不知道。
社區內的動作並沒有被忽視 反對缺乏透明度和遙測技術以及Raspberry Pi板用戶的Linux 正在討論包括對Microsoft存儲庫的調用 在Raspberry Pi OS上運行,另外還添加了Microsoft GPG密鑰以實現可靠的軟件包安裝。
Microsoft存儲庫由raspberrypi-sys-mods軟件包添加,其中包括特定於操作系統的腳本和設置。
/etc/apt/sources.list.d的配置由post-inst腳本修改 並用於配置VSCode開發環境。 主要聲明與以下事實有關:Microsoft存儲庫和密鑰是在沒有警告用戶的情況下添加的。
添加Microsoft apt信息庫的想法是使使用Visual Studio Code開發環境更加容易。
正式地,這是因為它們支持Microsoft的IDE(!),但是即使從清晰的映像安裝它並使用沒有GUI的無頭Pi也可以得到它。 這意味著,每次在Pi上執行“ apt更新”時,便會ping通Microsoft服務器。
他們還安裝了Microsoft GPG密鑰,該密鑰用於對該存儲庫中的程序包進行簽名。 這可能會導致以下情況:更新從Microsoft存儲庫中提取依賴項,並且系統將自動信任該程序包。
在沒有用戶同意的情況下,存儲庫安裝會以靜默方式完成,並且Raspberry Foundation並沒有通過專門的博客文章讓用戶為這種更改做好準備。
惱火的用戶評論說此行為很危險,原因有兩個:
首先,每當安裝或更新軟件包時更新存儲庫信息時,軟件包管理器都會輪詢所有連接的存儲庫,即Microsoft服務器累積有關所有用戶的IP地址的信息 Raspberry Pi操作系統,可用於創建用戶配置文件。
從相同IP登錄到Microsoft服務時,可以將類似的配置文件用於目標廣告。
其次,Microsoft存儲庫以完全可信的方式連接,儘管事實上它不受Raspberry Pi操作系統的控制,但開發人員和用戶均未要求用戶確認添加Microsoft GPG密鑰。 如果Microsoft的基礎結構通過此類存儲庫受到破壞,則可以分發偽造的更新來替換標準軟件包或替換依賴項。
他甚至繼續說
這是您始終“針對類似問題”進行操作的方式,而無需通知您的單板計算機產品線的所有者。 »用戶回想起Linux和Microsoft之間在遙測方面的緊張關係。
最後,請注意,社區支持的Raspbian發行版不受此問題的影響,所做的更改僅添加到Raspberry Pi OS(Raspberry Pi Foundations維護的Raspbian的變體)中。
如果您想繼續使用Raspberry Pi OS,另一種方法是阻止Visual Studio Code。 Visual Studio Code配備了遙測選項,因此許多用戶發現Visual Studio Codium更合適。
要消除對Raspberry Pi操作系統中Microsoft服務器的訪問,只需註釋/etc/apt/sources.list.d/vscode.list文件的內容,然後刪除/ etc / apt /受信任的密鑰。 .gpg。
另外,可以將“ 127.0.0.1packages.microsoft.com”添加到/ etc / hosts以阻止請求。
最後, 如果您有興趣了解更多信息,你可以諮詢 以下鏈接。