Microsoft Teams Ubuntu/Debian 软件包秘密添加 APT 源和 APT 密钥

Microsoft Teams Ubuntu/Debian 软件包秘密添加 APT 源和 APT 密钥

安装 Microsoft Teams 后,我注意到系统上创建了以下文件:

    /etc/apt/sources.list.d/teams.list
    /etc/apt/trusted.gpg.d/microsoft.gpg

没有选择或拒绝的请求/机会,包安装无需任何用户交互,我完全是偶然注意到这些添加的。

这是一次严重的入侵和安全漏洞。APT/dpkg 系统中是否有任何设置可以防止此类漏洞?

我觉得这也应该是微软的政策违规行为。有人知道该向哪里举报吗?

答案1

这很典型;其实没什么好害怕的。例如,Google Chrome 基本上做了同样的事情,甚至更多(如果我没记错的话)。安装这些文件是为了方便安装软件的未来更新。例如,安全/错误修复。诚然,这确实意味着 MS 理论上可以在更新中发布他们想要的任何内容,但由于这会损害他们的声誉,因此在实践中不太可能发生这种情况。请注意,作为系统用户,您仍然必须自己安装任何可用的更新,因此您仍然可以选择拒绝这些更新。当然,除非您告诉系统自动安装所有更新而无需确认,但我怀疑您没有这样做,因为您担心安全问题。

在这种情况下,微软唯一的选择是:

  1. 不提供任何自动更新机制。这对安全性不利,因为他们必须依赖最终用户手动下载和安装软件的每个错误/安全修复程序。用户不太可能这样做。

  2. 在 Linux 发行版的标准包管理系统之外实现一些更新机制。这会造成问题,因为这会造成重复劳动,并迫使用户学习不同的更新系统。与标准包管理系统集成可以提供更加友好的体验。

如果你真的不想收到此应用程序的更新,你可以随时删除这两个文件。但是,如果你想这样做,我建议你先卸载软件本身,这样你就不会运行从未更新过的版本。

不过微软可以对该软件包进行一些改进:

  1. 这些文件不是软件包的一部分,因此必须通过某种形式的安装后脚本来创建。如果这些文件直接包含在软件包中就好了,这样只需执行“dpkg -x file.deb”即可明确它们将作为软件包的一部分进行安装。
  2. 运行“apt purge teams”并没有删除文件。如果软件包中的卸载前/卸载后脚本可以做到这一点,那就更好了。

微软针对 Teams 的用户反馈论坛如下: https://microsoftteams.uservoice.com/

答案2

Kai Kasurinen (kai-kasurinen) 给出的解决方案删除安装 Microsoft Teams 后创建的 MA TEAMS 文件。我的系统上创建了以下文件:

/etc/apt/sources.list.d/teams.list
/etc/apt/trusted.gpg.d/microsoft.gpg

解决方案(由 Kai Kasurinen (kai-kasurinen) 提供)

--

sudo rm /etc/apt/sources.list.d/teams.list /etc/apt/trusted.gpg.d/microsoft.gpg

--

要删除软件包安装后配置中安装但未被删除的文件。

相关内容