Новият Outlook клиент на Microsoft тихо премества вашия имейл в облака

Microsoft наскоро представи a нова версия на Outlook На Компютри с Windows. Той е проектиран да замени остарелите Windows Mail и класическия Outlook, така че въвежда елегантно ново дизайн и значително по-тесни облачни интеграции, като същевременно комбинирате вашия имейл и календар в едно ап. Той също така въвежда нови генеративни AI функции, включително помощ при писане и „други разширени функции на AI“.

Въпреки това, приложението въвежда и някои сериозни опасения за поверителността. Въз основа на проучване от немския блог heise.de, което успяхме да възпроизведем на XDA, изглежда, че новото приложение Outlook е много по-строго интегриран с облака, отколкото потребителят може да очаква, отваряйки обхвата на потенциалните данни на Microsoft колекция. Това представлява значителен проблем с поверителността, така че има много въпроси, на които Microsoft трябва да отговори относно очакванията на потребителите.

Какво можете да очаквате от новия Outlook

Имейлът все още е имейл, нали?

Новата версия на Outlook е достъпна от началото на септември и въвежда набор от нови функции. Приложението вече включва нови функции на Copilot AI, а Microsoft заяви, че възнамерява новата версия на Outlook да замени съществуващото приложение Outlook в рамките на две години. Компанията обяви и по-широк списък от предстоящи функции, което вероятно ще бъде обявено през следващите месеци (особено относно възможностите на AI). Новото приложение има и нов потребителски интерфейс, който го привежда в по-голяма степен в съответствие с облачните версии на офис приложенията на Microsoft, както и по-тясна интеграция с други услуги на Office като Calendar и Word.

Новата версия на Outlook вече е достъпна в Microsoft Store като Outlook за Windows. Веднъж инсталирано, приложението в стартовото меню като Outlook (ново).

Новият Outlook има проблемно поведение

Може да не осъзнавате за какво се записвате

При отваряне на новия клиент на Outlook за първи път, потребителят е помолен да влезе подобно на всеки друг имейл клиент. Ако въведете имейл адрес с общ доставчик, като Gmail или iCloud, клиентът ще използва работен процес Oauth2, за да се удостовери с вашия браузър. Ако въведете домейн на трета страна, ще бъдете подканени да въведете парола за IMAP (ако се поддържа). Всичко това е много нормално за имейл клиент.

Въпреки това, след като бъдете удостоверени, ви се показва безобиден прозорец, който ви информира, че да използвате новата версия на Outlook, Microsoft ще трябва да синхронизира вашите имейли, събития и контакти с Microsoft Облак. Налична е опция за отказ, но няма опция за отказ и продължаване на използването на вашия клиент. А връзка за поддръжка се предоставя с още информация, която обяснява, че достъпът позволява функции като поща търсене, фокусирана входяща кутия или повтарящи се срещи, но не прави ясно изявление за ограниченията на тези данни колекция.

От това предупреждение потребителят може разумно да предположи, че имейл клиентът, в който влиза, ще го направи продължи да действа като имейл клиент и че клиентът може да изпрати някои ограничени данни за обработка в облак. Това обаче не е така. Вместо вашия имейл клиент да се удостоверява, вашите идентификационни данни се предават на облака на Microsoft, който удостоверява от ваше име. От този момент цялата обработка (включително извличането на вашите имейли) се обработва в облака. Не можахме да наблюдаваме никакъв трафик, пътуващ директно от клиента към нашия имейл доставчик.

Това важи както за OAuth, така и за IMAP работни потоци, но е най-видимо при удостоверяване с IMAP сървър на трета страна. В този случай клиентът на Outlook взема идентификационните данни за IMAP, предоставени от вашия имейл доставчик, за достъп до приложението и ги прехвърля директно в облака на Microsoft през TLS. Можем да възпроизведем това, като настроим прозрачен прокси човек по средата между интернет и клиента на Outlook за прихващане на шифрован трафик. На екранната снимка по-долу нашата парола за приложение, генерирана от доставчик на имейл трета страна, се споделя и съхранява директно със сървърите на Microsoft. Отговорът на тази заявка е токен за достъп и опресняване, който се използва за поддържане на постоянна удостоверена сесия със сървърите на Microsoft.

Имейл клиент ли е или не?

Outlook (нов) прави по-малко локално, отколкото си мислите

Доставчикът на имейл, който използваме за този пример, записва IP адреса и времето за достъп на всяко ново влизане. Ако клиентът на Outlook комуникира директно с нашия пощенски сървър (т.е. действаше както клиентът трябва), тогава IP адресът, който имейл доставчикът записва, трябва да е същият като компютъра, на който работим с Outlook На. Във всеки случай, когато опитахме това, не беше записана връзка от нашия домашен IP адрес. Вместо това, първоначалните IMAP/SMTP връзки идват от 52.x.x.x IP адрес. Бързо търсене в WHOIS показва, че този IP адрес е регистриран в Microsoft. Това би показало, че „клиентът“ на Outlook не е нищо подобно, действайки изцяло като обвивка около облачните услуги на Microsoft и че нашият локален клиент всъщност изобщо не е влизал.

"Клиентът" на Outlook не е нищо подобно, действайки изцяло като обвивка около облачните услуги на Microsoft.

Тук има ясен проблем за потребителя. Като просто влезе в новия клиент на Outlook, потребителят ефективно предоставя на Microsoft Cloud общ и неограничен достъп до целия си имейл акаунт. Единственото споменаване на поверителността от Microsoft на свързаната страница за поддръжка е набор от връзки към неговата декларация за поверителност и споразумения за услуги, като и двете позволяват общ достъп до вашите данни за подобряване на продуктите на Microsoft и услуги. Поне при удостоверяване с OAuth2 повечето доставчици на имейл предлагат някакъв вид обобщение на поверителността (подобно на примера от Google по-долу). Когато се удостоверява с IMAP, потребителят обикновено получава още по-малко предупреждение, като повечето доставчици на имейл приемат, че „клиентите“ на имейл поне действат като клиенти, а не като шлюзове към облака. Също така е важно да се отбележи, че няма очевиден начин да откажете тази облачна интеграция, когато влизате в който и да е имейл акаунт или използвате клиента в режим с деактивирани някои AI функции.

Разтоварването на клиентската функционалност на имейла към облака също премахва възможността инженерите по сигурността или изследователите лесно да проверяват какво прави клиентът. Възможно е да проследявате заявките, направени за вашите данни от Microsoft (макар и сложно, тъй като потребителят ще трябва да стартира собствен имейл сървър с достъп до неговите регистрационни файлове), но това не дава никаква индикация за това колко допълнителна обработка, ако има такава, отнема място. Също така е важно да запомните, че този достъп е постоянен. Вече не е възможно да спрете достъпа на Microsoft до вашите имейли, като просто затворите Outlook. Потребителите могат да влязат в Outlook на работния си плот, за да го тестват, да решат, че не го харесват и просто да спрат да го използват, без да излизат. Докато потребителят не излезе (или не отмени сесията другаде), Microsoft ще запази постоянен достъп до неговите данни.

Опасни прецеденти за данни

Пренасочването на събирането на данни към местни клиенти може да е стъпка твърде далеч

Събирането на данни в крайна сметка е нещо, с което всички сме свикнали, независимо дали ни харесва или не. Въпреки това, липсата на прозрачно разкриване на информация от страна на Microsoft и използването на приложения за настолни компютри за пренасяне на данните на потребителите в облака са тревожни. Фино приетите лицензионни споразумения на Microsoft позволяват почти неограничено събиране на данни за подобряване или създаване на нови инструменти на Microsoft, включително използване на вашите имейл данни за обучение на генериращ AI или други инструменти.

В нито един момент не е ясно, че настолното приложение Outlook ще действа изключително като обвивка облачни услуги или какви са ограниченията и обстоятелствата, при които Microsoft ще има достъп до вашите данни в облак. Предвид обхвата на стремежа на Microsoft към нови базирани на облак AI интеграции и липсата на увереност в противен случай е разумно да се предположи, че Microsoft може да използва този вид данни за обучение или тестване цели.

Липсата на прозрачно разкриване на информация от страна на Microsoft и използването на приложения за настолни компютри, за да се пренесат данните на потребителите в облака, са тревожни.

Това също може да бъде сериозен проблем за бизнеса. Корпоративен краен потребител може несъзнателно да предостави на Microsoft достъп до големи обеми бизнес или търговски чувствителни данни, вероятно в нарушение на нормативните изисквания или изискванията за сигурност. Ако тези данни след това са били използвани за обучение на генеративни AI или други модели за машинно обучение, които са публично публикувани, е възможно някои аспекти на тези данни да бъдат изведени на повърхността, за да има достъп от всеки. Това е екстремен сценарий, но е ясно къде могат да се крият опасенията.

Независимо дали сте опитен потребител в бизнеса, системен администратор, който наблюдава мрежа, или краен потребител търсите нов имейл клиент, важно е да знаете последиците за поверителността от влизането с Outlook. Microsoft, въпреки че предлага разкриване, че ще синхронизира данни в облака, приема много повече свободи, отколкото потребителят разумно би очаквал със степента на техния достъп и ролята на клиента всичко.