We hebben blijkbaar begin dit jaar dit bommetje onder het Raspbarry Pi systeem gemist…
Eén bommetje is de beschikbaarheid: ook de Pi’s hebben te lijden onder de tekorten op de markt van computertoebehoren. Met als gevolg dat sommige Pi’s niet te vinden zullen zijn, sommige in prijs zullen stijgen, en een model dat uit dienst was gezet terug zal gemaakt worden om mee de tekorten op te vangen bij geïntegreerde apparaten.
https://www.raspberrypi.com/news/supply-chain-shortages-and-our-first-ever-price-increase/
MS-Bommetje onder Raspberry Pi
Een ander bommetje: Inderdaad, een stille Microsoft-trojan drong binnen in het systeem van de Raspberry Pi, met de theoretische mogelijkheid voor MS om eender welke code naar het systeem te duwen…
Micro-wie?
Het lijkt al begin dit jaar te zijn geweest, dat er melding kwam van een update aan Raspberry Pi OS, waarin een toegevoegd Microsoft repository gedetecteerd werden. Dat betekent dat bij elke “apt-get update” die een gebruiker doet, Microsoft een “ping” krijgt en het ip adres kan registreren.
En er waren Microsoft keys toegevoegd. Dat betekent dat Microsoft een sleutel krijgt om updates naar de Pi te sturen. Reddit vermeldt het op 3 februari 2021, en legt uit wat er gebeurt:
Om een bepaalde programmeeromgeving voor de Pi te voorzien, die aangeleverd (en onderhouden) wordt door Microsoft, wordt de software verzameling of repository van Microsoft toegevoegd. Eigenaardig genoeg gebeurt dat nogal in ruime vorm: die programmeeromgeving draait op de desktop, maar de Microsoft repository wordt toegevoegd in alle Raspberry Pi systemen, ook de servers zonder beeldscherm (headless). Bovendien gebeurt de installatie van die Microsoft toegang in een “post-install script”, iets waar je dat soort ingrijpende veranderingen niet zou verwachten.
VScode?
Het pakket raspberryp-sys-mods
(zie github) versie 20210125 is de oorzaak; daarbij worden in post-install de bestanden vscode.list
en microsoft.pgp
geïnstalleerd. Die raspberrypi-sys-mods komt van de Raspberry Pi Foundation softwareverzameling.
In Debian Linux kan je altijd een beschrijving van een pakket opvragen met apt show
, maar vreemd genoeg werkte dat commando niet voor
apt show raspberrypi-sys-mods
.
De auteur van het pakket is Serge Schneider, iemand met een e-mail adres met domeinnaam “raspberrypi.com” (waar wij eerder raspberrypi.org zouden verwachten..?), en die heeft ondertussen de beschrijving wel in orde gemaakt, enkele weken nadat die code bij de gebruikers terechtkwam.
Dus nu vermeldt die:
Package: raspberrypi-sys-mods
Version: 20210310
Priority: optional
Section: admin
Maintainer: Serge Schneider
Installed-Size: 75,8 kB
Depends: libcap2-bin, systemd (>= 230), gettext-base
Recommends: rfkill, rpi-eeprom
Homepage: https://github.com/RPi-Distro/raspberrypi-sys-mods
Download-Size: 11,8 kB
APT-Manual-Installed: yes
APT-Sources: http://archive.raspberrypi.org/debian buster/main armhf Packages
Description: System tweaks for the Raspberry Pi
Various modifications to improve the performance or user experience.
Ik vrees dat die beschrijving (laatste lijn/en) niet de vereiste duidelijkheid geven over de aard van deze code.
In de forums op de Raspberry Pi website ontstond een discussie, die al snel door de beheerders van het forum werd geblokkeerd.
Sommige gebruikers gingen manueel aan de slag om de Microsoft repository er uit te halen, maar zagen dat die bij een update telkens terugkwam.
Sommige gebruikers veranderden van de raspbian naar een gewoon debian systeem en repositories.
Teruggedraaid
En even later werd er een aanpassing gedaan waarbij die Microsoft repositories en keys verwijderd werden: https://github.com/RPi-Distro/raspberrypi-sys-mods/blob/master/debian/changelog.
Officiëel omdat ze niet meer nodig waren:
raspberrypi-sys-mods (20210310) buster; urgency=medium
* Remove Microsoft repo, since it is no longer required
Uiteindelijk heeft de toestand niet lang geduurd: van 25 januari tot ergens in maart.
Wie oudere systemen draait die niet werden geüpdate, kan eraan ontsnapt zijn.
Als ik naar een paar systemen kijk cat /etc/os-release
:
Raspbian 10 buster (op een Raspberry Pi 400):
cat /etc/apt/sources.list
: heeft geen MS
Maar in ls -lFA /etc/apt/trusted.gpg.d/
vind je wel:
26 mei 22:37 microsoft.gpg size:0
Die blijkt leeg te zijn (waarschijnlijk de aanpassing van maart).
In Home Assistant OS heb ik het niet teruggevonden (een sd card op een pi doorzoeken kan wel even duren…).
VS code
VScode staat voor Visual Studio Code, een (kind/beginners)vriendelijke programmeeromgeving van Microsoft, die ze waarschijnlijk uitgebracht hebben om de creatieve gebruikers van het Raspberry Pi platform in de richting van hun programmeeromgeving Visual Studio te krijgen.
Om een beetje in de sfeer van de Raspberry Pi en Linux te passen, is vscode een soort open source programma, onder de MIT licentie uitgebracht (dus niet de GPL!). Maar de software die ze aanbieden om te downloaden is niet vlcode maar het “Visual Studio Code” product, en dat staat onder een andere licentie, namelijk: https://code.visualstudio.com/license
Daarin kan je interessante titels lezen onder “Data”, nl: “Data Collection” en “Processing of Personal Data”
Het is duidelijk: MS verzamelt via VScode ook informatie van de gebruiker en stuurt die naar Microsoft, iets wat telemetrie genoemd wordt.
Wie achterdochtig genoeg is kan het waarschijnlijk ook wel zonder VS code stellen,
Wie om een of andere reden deze software wel nodig heeft, kan gebruik maken van een versie die door onafhankelijke programmeurs is ter beschikking gesteld, en waaruit alle banden met Microsoft zijn verwijderd. Die programmeurs nemen de code die onder de MIT licentie gemaakt wordt op open source platform github, en gaan daar zelf een “product” van maken, een bruikbaar programma dus, zonder Microsoft spyware en logo’s.
Je kan die vinden op https://vscodium.com.