Linux OS installiert heimlich Microsoft Repo auf Raspberry Pi

[English]Unschöne Geschichte oder technische Notwendigkeit? In der Raspberry Pi-Community ist jedenfalls die Kacke am dampfen, nachdem ein Update des Raspbian-Betriebssystems heimlich ein Microsoft Repo installiert hat. Dieses löst bei jedem Update einen Ping auf einem Microsoft-Server aus.


Anzeige

Der Raspberry Pi ist ein kleiner Einplatinen-Computer, der von Bastlern gerne zum Erlernen des Programmierens und zum Erstellen von Projekten eingesetzt wird. Für die Platinen ist ein auf Debian basierendes modifiziertes Linux-Betriebssystem namens Raspbian verfügbar bzw. wird mitgeliefert. Daher ist das am meisten installierte Betriebssystem auf dem Raspberry Pi. Über nachfolgenden Tweet bin ich auf einen merkwürdigen Sachverhalt gestoßen.

Microsoft Repo on Respberry Pi OS

Vivek Gite schreibt in diesem Artikel, dass mit einem kürzlich durchgeführten Update das Raspberry Pi OS ein Microsoft apt Repository auf allen Rechnern, auf denen Raspberry Pi OS läuft, ohne das Wissen der Person oder des Administrators, installiert habe . Jedes Mal, wenn ein Raspbian-Gerät mit diesem Repository aktualisiert wird, pingt es einen Microsoft-Server an.

Vivek Gite scheint es so, dass das Repo VS Code IDE für das Raspberry Pi-OS enthält. Da aber die Microsoft-Telemetrie einen schlechten Ruf in der Linux-Gemeinschaft hat, gab es bald ziemlichen Aufruhr im Raspberry Pi-Forum. Leider ist die Geschichte dann entgleist, denn die Admins des offiziellen Raspberry Pi-Forums haben die Themen-Threads schnell, mit der Behauptung, es sei „Microsoft-Bashing“, gesperrt und gelöscht.

Es scheint, dass die RPi Foundation offiziell die MS IDE empfiehlt. Daher vermutet Gite, dass diese Microsoft IDE dem Raspberry Pi OS beigefügt wurde. Viele Power-User benutzen den Raspberry Pi als Git-Server oder Adblocker etc. Da gibt es dann sofort ein Vertrauensproblem, wenn unerwünschte Software-Repos konfiguriert und gpg-Schlüssel heimlich installiert werden.

Der Artikel von Vivek Gite enthält weitere Details (u.a., wie man das Ganze verifiziert) und Erklärungen für interessierte Leser. Ich würde mal sagen: Da ist eine Aktion (auch wenn es mutmaßlich ein inzwischen korrigierter Bug gewesen sein soll) ziemlich in die Hose gegangen – und da hier im Blog einige Leute schon mal angeben, einen Raspberry Pi zu verwenden, wollte ich euch dies nicht vorenthalten.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Linux abgelegt und mit Linux, Raspberry Pi verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Linux OS installiert heimlich Microsoft Repo auf Raspberry Pi

  1. janil sagt:

    Das liest sich mal gar nicht gut, werd mal weiter gucken.
    Danke für die Info.

    • janil sagt:

      Guten Morgen!
      Bin auf Debian Stretch, hab schon vor einiger Zeit gewechselt, da war das Repo nicht mit bei.
      Allen einen schönen Tag.

  2. Dat Bundesferkel sagt:

    Boah, das ist sowas von ranzig. Ohne Vorwarnung und Notwendigkeit wird der Mist einfach mit installiert.

    Und der Kommentar im Forum spricht dann ja auch Bände: „Thank you, everyone, for your feedback, this won’t be changing because it makes the first experience for people who do want to use tools such as VSCode easier.“

    Meine deutsche Interpretation dazu: „Microsoft kam mit dicken Geldköfferchen vorbei und hat uns aufgekauft. Es geht uns völlig am Ar… vorbei, was ihr wollt. Wir sagen einfach, daß unbedarfte Neueinsteiger unbedingt Zugriff VSCode benötigen und nicht imstande sind – wie bei allem anderen – eigenständig Repos und gpg’s zu importieren.“

    Kein Ding. Gibt auch andere SoC’s. Mit der Mentalität gibt es von mir keinen einzigen Cent mehr. Jetzt muß ich erst mal meine RPi-Armada „bereinigen“ und „desinfizieren“…

    Herzlichen Dank, Günter, für die Info!

  3. 1ST1 sagt:

    Wer Schiss vor Micrsoft hat, sollte auch kein Github mehr verwenden, das gehört denen auch.

    • Dat Bundesferkel sagt:

      Du hast den Sinn hinter den Beschwerden nicht verstanden. Hier agieren die Macher von Raspbian wie Malware/Trojaner: Es werden UNGEFRAGT nicht notwendige Repos mitsamt Sicherheitsschlüssel ungefragt, klammheimlich installiert. Das ist in der Linux-Welt einfach undenkbar, da man – egal wofür – die passende Repos selbst installiert.

      Es ist nicht akzeptabel, daß für das große Microsoft hier eine Extra-Nummer geschoben wird. Der Shitstorm folgt zu recht. Der würde auch folgen, wenn es nicht Microsoft, sondern Cisco, Apple, Huawei, Walt Disney wäre.

    • Stevenson sagt:

      @ 1ST1
      [_] Du weisst was ein GPG-Key zum signieren von Paketen ist.
      [_] Du weisst was es bedeutet, wenn jemand das auf dein System installiert.
      [_] Dir ist der Unterschied zwischen Dienstleister und Code bekannt.
      [X] Du wolltest dich ohne Hintergrundwissen mitteilen.

      Beim nächsten mal lesen was Github ist, da sind viele Projekte die mit MS null zu tun haben. Absolut frei/libre, quelloffen und dem Linux-Gedanken entspringen.

      Installiere doch mal meinen GPG-Key auf deinem System mit vollem Vetrauen. Na merkste selbst wo dein Fehler in dieser Denke ist?

  4. micha45 sagt:

    Dass eine solche Geschichte bei einem Open-Source-OS schnell auffliegt, hätte den Machern von Raspbian eigentlich klar sein müssen.
    Deshalb kann ich mir nicht vorstellen, dass sie dies mit Absicht getan haben könnten.
    Dass dann ein Shitstorm über sie kommen würde, dürfte auf der Hand liegen.
    Sollte es unabsichtlich geschehen sein, sollten sie das schnell und öffentlich kommunizieren.

    Ich finde es grundsätzlich nicht gut, wenn etwas im Hintergrund, ohne Wissen und ohne vorher die Zustimmung des Benutzers eingeholt zu haben, eingeschleust wird. Vollkommen unabhängig davon, ob es sich um unbedenklichen Kram handelt.
    Das gehört sich einfach nicht und es führt in der Tat zwangsläufig zu einem Vertrauensverlust.

    • Henry Barson sagt:

      > Deshalb kann ich mir nicht vorstellen, dass sie dies mit Absicht getan haben könnten.
      Dem widerspricht aber der Umgang mit den Beschwerden darüber in den Foren.
      Fehler passieren, keine Frage. Und auch in OS-projekten. ABER, dann sollte man damit professionell in Diskussion gehen und zur Aufklärung beitragen, statt einfach Threads zu schließen/löschen. Das zeugt nur von arschüberheblicher Selbstherrlichkeit. Offensichtlich waren die Geldkoffer dick genug. Vom Timing her hätte das nicht besser kommen können, hatte mir schon einen Pi400 auf die „Einkaufsliste“ gesetzt gehabt, das Vorhaben wird nun erst mal ausgesetzt.

      • micha45 sagt:

        Na ja, bei allem Verständnis für die Empörung der Nutzer in den Foren, sollte man sich mit wüsten Beschimpfungen und üblen Beleidigungen doch zurückhalten. Ich hatte das mitverfolgt und gesehen, was dort zum Teil abgesondert wurde.

        Das Schließen und Löschen solcher Threads und Kommentare ist nun mal die logische Konsequenz, die auf Kommentierungen auf solchem unterirdischen Niveau folgt. Das braucht sich kein Forenbetreiber bieten zu lassen.

        • Günter Born sagt:

          Wenn es um die Art und Weise der Kommentierung geht, hast Du leider Recht. In der Sache wäre es dienlich gewesen, wenn es von den Mods kommuniziert worden wäre. Ich kenne es aus MS Answers, dass es einen Wiki-Beitrag oder gepinnten Post der Art „Das ist Sache“ gibt, wo man drauf verweist. Dann kann man Threads zum Kommentieren schließen und einen Link setzen. Aber ich gebe dir Recht: Ist schwierig mit der Diskussionskultur, sehe ich gelegentlich selbst hier im Blog.

          • Alfred Neumann sagt:

            Wobei es hier aber wirklich noch gesittet zugeht.

          • Günter Born sagt:

            @A.N. Da stehe ich auch noch vor – es kann, wird und soll unterschiedliche Positionen geben – solange es gesittet zugeht, möchte ich nicht eingreifen. Wenn es einreißt, verwarne ich. Es gibt nur sehr wenige Leute (kann ich an einer Hand abzählen), die ich sperren musste – weil Verwarnungen fruchtlos blieben.

        • Sebastian sagt:

          Kommunikations- und Diskussionskultur reißen gefühlt immer mehr ein, oder?
          Ich habe den Eindruck, viele „radikalisieren“ sich, zumindest verbal. Dass man sich mal von anderen mit guten Argumenten überzeugen lässt oder auch nur zugesteht, dass es auf der anderen Seite positive Aspekte gibt bzw. nicht alles schwarz/weiß ist – leider nur sehr selten anzutreffen.

          • Dat Bundesferkel sagt:

            Das ist schon seit 20 Jahren in Foren der Fall. Keine Neuerscheinung. Jeder hat seinen Standpunkt, den er verteidigt und egal welche Argumente man vorbringt, man bellt sich eigentlich nur gegenseitig an.
            Das Spiel wiederholt sich bei selben Themen dann fortwährend.
            Ist ein Dauerläufer und für mich damals ein Grund gewesen aus dem „aktiven Forendienst“ auszusteigen. Verschwendete Lebenszeit mit einer 5-6 stellen Anzahl hilfreicher Beiträge (kein Spam).

            Hier habe ich jetzt meine Ersatzbefriedigung gefunden. Und wenn ich genervt bin, kommentiere ich einfach tagelang gar nichts. :D

  5. Fritz sagt:

    Ein anonymer User „anon“ schreibt am Feb 4, 2021 @ 17:21 als Kommentar unter dem Artikel von Vivek Gite (https://www.cyberciti.biz/linux-news/heads-up-microsoft-repo-secretly-installed-on-all-raspberry-pis-linux-os/#comment-7135)

    > There’s nothing secret about this despite this article’s clickbaity title. The inclusion of the Microsoft Apt repos on lite server images was a bug. See this commit where the bug was introduced: https://github.com/raspberrypi/pico-project-generator/commit/75d4a56b22fb82b437ed00ad9582af42603057cf
    >
    > There’s nothing secret there, it was 100% public. Furthermore, the bug was fixed 3 days ago as you can see here: https://github.com/raspberrypi/pico-project-generator/commit/a6e454696342984c236015fa9f22a7db635fd86e#diff-6c936ccf51a28154c16cf78e753d9d67fb655b29e6e7d01ca29b1f360d4a38ddL709

    • Günter Born sagt:

      Macht es aber auch nicht besser. Wenn es ein Bug war, hätten die Forenmods das problemlos im Forum unter die Artikel schreiben können. Die Folgekommentare auf den Post von „anon“ bringen es auf den Punkt. Wenn es offen kommuniziert worden wäre, hätte dies der Sache gedient, wobei ich mich frage, was VS-Code für eine IDE in einem Linux für den Raspberry Pi zu suchen hat?

      • Schrägar der Heckliche sagt:

        Naja, VS Code ist schon wirklich gut. Das ist ein Source Code Editor, der sich mittels Plugins zu einer IDE für diverse Programmiersprachen erweitern läßt. Der kommt zwar von MS, ist aber komplett Open Source (MIT-Lizenz). Der Hauptentwickler ist Erich Gamma (Gang of Four), was ja schon für sich spricht. Weil VS Code Cross-Compiling-Fähig ist, genießt er auch unter Linux Developern hohes Ansehen.

        Jetzt kommt das „aber“: es gibt auch VSCodium – Binarys aus dem originalen MS-Quellcode, aber ohne „Ping nach Hause“. Warum man die nicht vorinstalliert hat, ist rätselhaft. Vermutlich gibts kein fertiges Repository für die Updates…

    • Dalai sagt:

      Die MS-Paketliste und der zugehörige GPG-Schlüssel kommen durch das Paket raspberrypi-sys-mods, konkret durch das postinst-Skript: https://github.com/RPi-Distro/raspberrypi-sys-mods/blob/master/debian/raspberrypi-sys-mods.postinst
      Diese Änderung wurde am 25. Januar eingepflegt. Siehe auch im offiziellen Raspi-Forum: https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=301011

      Was hat nun pico-project-generator mit einer Änderung/Bugfix vom 21. Januar damit zu tun? Ich sehe den Zusammenhang nicht.

      Grüße

    • Stevenson sagt:

      @Fritz
      Installiere doch meinen GPG-Key mit vollem Vertrauen auf deinen System mit Fernzugriff. Ich will auch mal meinen Code pushen können.

      Wenn du jetzt noch nicht siehst wo dein Denkfehler ist, dann hilft nichts mehr.

      Ist halt immer cool wenn Microsoft-only Nutzer in einem Linux-Artikel kommentieren und man sofort merkt, dass sie fachfremd sind.

  6. Sven Fischer sagt:

    Ist natürlich ein dickes Ding, was da passiert ist. Wer was alternatives nutzen möchte/will, dem kann ich dietpi empfehlen. Das basiert blank auf Debian, super einfache Installation und eine gute Community. Ich habe selbst seit vielen Jahren einen Raspi B+ damit in Betrieb.
    https://dietpi.com/docs/
    https://dietpi.com/

  7. Anonymous sagt:

    Das ist ärgerlich und einer der Gründe warum ich weiterhin auf x86 setze. Da brauche ich keine fertigen Images von denen ich dann doch wieder nicht weiß was wirklich drin ist.

    Ja ich weiß man könnnte auf dem Raspi auch selber Debian installieren aber manchmal möchte ich einfach nur das es funktioniert und nich stundenlang basteln.

Schreibe einen Kommentar zu Sven Fischer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.