Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Настройки /etc/apt/sources.list.d меняются скриптом post-inst и используются для установки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей.
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может использоваться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации инфраструктуры Microsoft через подобный репозиторий возможно распространение поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить "127.0.0.1 packages.microsoft.com" в /etc/hosts.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54531
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может использоваться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации инфраструктуры Microsoft через подобный репозиторий возможно распространение поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить "127.0.0.1 packages.microsoft.com" в /etc/hosts.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54531