В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft
Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей.
Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Репозиторий добавляется в /etc/apt/sources.list.d скриптом post-inst и используется для установки среды разработки VSCode.
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может применяться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации сторонней инфраструктуры чрез подобный репозиторий возможно распространения поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить »127.0.0.1 packages.microsoft.com» в /etc/hosts.
Источник: http://www.opennet.ru/opennews/art.shtml? num=54531
Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Репозиторий добавляется в /etc/apt/sources.list.d скриптом post-inst и используется для установки среды разработки VSCode.
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может применяться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации сторонней инфраструктуры чрез подобный репозиторий возможно распространения поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить »127.0.0.1 packages.microsoft.com» в /etc/hosts.
Источник: http://www.opennet.ru/opennews/art.shtml? num=54531
Ещё новости по теме:
18:20