В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
05-Фев-2021 15:30

Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Настройки /etc/apt/sources.list.d меняются скриптом post-inst и используются для установки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей.
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может использоваться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации инфраструктуры Microsoft через подобный репозиторий возможно распространение поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить "127.0.0.1 packages.microsoft.com" в /etc/hosts.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_raspberrypi, #_raspbian, #_privacy
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:17
Часовой пояс: UTC + 5