樹莓派悄悄放了個微軟“后門”:系統加入微軟源卻未告知,用戶怒了
apt悄悄加入微軟源
曉查 發自 凹非寺? 量子位 報道 | 公眾號 QbitAI
樹莓派官方系統最近的一項更新,在樹莓派玩家中炸開了鍋。
有開發者發現,自己的Raspberry Pi OS在更新后,apt的軟件源列表中加入了微軟倉庫。
一些用戶覺得,apt的源是Linux用戶軟件“大本營”,沒有通知用戶就塞進來一個地址,讓人感到不安。
更新后的樹莓派官方系統,會在軟件包管理文件夾/etc/apt/sources.list.d/中加入了一個vscode.list文件。
而這個vscode.list文件指向了微軟的軟件源地址http://packages.microsoft.com/repos/code,這個地址帶有stable和main兩個分支,其中有三個不同版本的VS Code軟件包。
為什么要添加微軟倉庫
樹莓派軟件工程總監表示,官方此舉為了讓初學者安裝VS Code之類的工具更加容易。
雖然對于大多數開發者而言,手動添加微軟倉庫再安裝軟件并不困難,但樹莓派的初衷就是推廣低價計算機,促進計算機教育。
對于想學習代碼的初學者來說,可能安裝IDE會存在障礙。而加入微軟倉庫后,只需apt install code一行代碼即可安裝VS Code。
開發者覺得不好
本來應該是方便用戶安裝軟件的事情,為何卻遭到了很多開發者的質疑?
很多樹莓派用戶覺得,官方突然更新了這么一下,事前事后都沒有任何說明,利用了大家對官方的信任,可能會給大家帶來安全風險。
Raspberry Pi OS不僅加入了新的軟件包地址,還安裝了微軟的GPG密鑰,用于對微軟倉庫中的軟件包進行簽名。
開發者擔心這可能打開“潘多拉盒子”。
如果你準備的軟件包需要一個依賴項,而這個依賴項又在微軟倉庫中,那么它將被系統自動信任。
而如果這個依賴項有開源版本,同時又有微軟的版本,這個開源軟件會不會被微軟的軟件替代呢?
而且有了微軟倉庫,以后你每次更新Raspberry Pi OS和軟件包時,系統都將對微軟服務器執行ping操作。微軟可以借此獲得樹莓派用戶的IP地址。
倘若再用這個IP地址去訪問Bing搜索,微軟就可以收集到樹莓派用戶的習慣,以后甚至可以推送個性化廣告。
總之,對于激進的開源用戶而言,樹莓派基金會沒打招呼就加入了一家商業公司的專有軟件包地址,讓人難以接受。
樹莓派基金會CEO回應外媒Gizmodo時表示,少數人對安裝軟件時的信任感有著不切實際的看法,專有軟件也不代表不安全。“說我們選擇信任微軟是在背叛人們,這很荒謬”。
解決方案
不管這位CEO怎么說,有些開發者已經開始手動刪除微軟了,他們給出了幾大解決方案:
-
繼續使用Raspberry Pi OS,請將文件?/etc/apt/sources.list.d/vscode.list 的內容全部注釋掉,刪除密鑰?/etc/apt/trusted.gpg.d/microsoft.gpg;
-
如果擔心今后的更新還會修改apt軟件包列表,可以在/etc/hosts文件中加入一句:
-
127.0.0.1 packages.microsoft.com
由于只有Raspberry Pi OS加入了微軟源,一些反對聲更激烈的用戶決定“跳船”,改用原生Debian等系統:
對不起Raspbian(官方系統舊名稱),但我不得不對你說再見。別往心里放。祝你一切順利,萬事如意。
一位Reddit用戶如是說。
而你會選擇支持樹莓派基金會,還是抵制他們呢?
參考鏈接: https://www.reddit.com/r/linux/comments/lbu0t1/microsoft_repo_installed_on_all_raspberry_pis/ https://gizmodo.com/is-your-raspberry-pi-phoning-home-to-microsoft-1846223934 https://arstechnica.com/gadgets/2021/02/raspberry-pi-os-added-a-microsoft-repo-no-its-not-an-evil-secret/
版權所有,未經授權不得以任何形式轉載及使用,違者必究。
- 腦機接口走向現實,11張PPT看懂中國腦機接口產業現狀|量子位智庫2021-08-10
- 張朝陽開課手推E=mc2,李永樂現場狂做筆記2022-03-11
- 阿里數學競賽可以報名了!獎金增加到400萬元,題目面向大眾公開征集2022-03-14
- 英偉達遭黑客最后通牒:今天必須開源GPU驅動,否則公布1TB機密數據2022-03-05
相關閱讀
