Nový klient Outlook společnosti Microsoft tiše přesune vaše e-maily do cloudu

Microsoft nedávno představil a nová verze Outlooku na Windows PC. Byl navržen tak, aby nahradil stárnoucí Windows Mail a klasický Outlook, takže představuje úhlednou novinku design a výrazně užší integrace cloudu při kombinaci vašeho e-mailu a kalendáře do jednoho aplikace. Zavádí také nové generativní funkce umělé inteligence, včetně pomocníků při psaní a „dalších pokročilých funkcí umělé inteligence“.

Aplikace však také přináší některé vážné obavy o soukromí. Na základě výzkumu z německého blogu heise.de, kterou jsme dokázali reprodukovat na XDA, se zdá, že nová aplikace Outlook je mnohem těsnější integrovány s cloudem, než by uživatel očekával, čímž se otevírá rozsah potenciálních dat společnosti Microsoft sbírka. To představuje významný problém s ochranou osobních údajů, takže existuje mnoho otázek, které musí společnost Microsoft zodpovědět ohledně očekávání uživatelů.

Co můžete očekávat od nového Outlooku

E-mail je stále e-mail, že?

Nová verze Outlooku je k dispozici od začátku září a přináší řadu nových funkcí. Aplikace již obsahuje nové funkce Copilot AIa Microsoft uvedl, že má v úmyslu novou verzí Outlooku nahradit stávající aplikaci Outlook do dvou let. Společnost také oznámila širší seznam nadcházející funkce, která bude pravděpodobně oznámena v nadcházejících měsících (zejména v oblasti schopností umělé inteligence). Nová aplikace má také nové uživatelské rozhraní, díky kterému je více v souladu s cloudovými verzemi kancelářských aplikací společnosti Microsoft a také těsnější integraci s dalšími službami Office, jako je Kalendář a Word.

Nová verze Outlooku je nyní k dispozici v Microsoft Store jako Outlook pro Windows. Po instalaci aplikace v nabídce Start jako Outlook (nový).

Nový Outlook má problematické chování

Možná si neuvědomujete, k čemu se přihlašujete

Při prvním otevření nového klienta Outlook je uživatel požádán, aby se přihlásil podobně jako kterýkoli jiný e-mailový klient. Pokud zadáte e-mailovou adresu u běžného poskytovatele, jako je Gmail nebo iCloud, klient použije k ověření ve vašem prohlížeči pracovní postup Oauth2. Pokud zadáte doménu třetí strany, budete vyzváni k zadání hesla IMAP (pokud je podporováno). To vše je u e-mailového klienta zcela běžné.

Jakmile však budete ověřeni, zobrazí se vám neškodné okno, které vás informuje, že máte použít v nové verzi Outlooku bude společnost Microsoft muset synchronizovat vaše e-maily, události a kontakty se společností Microsoft Mrak. Možnost zrušení je k dispozici, ale neexistuje žádná možnost odmítnout a pokračovat v používání svého klienta. A odkaz na podporu je poskytnuto několik dalších informací, které vysvětlují, že přístup umožňuje funkce, jako je pošta vyhledávání, soustředěnou schránku nebo opakující se schůzky, ale jasně neuvádí limity těchto dat sbírka.

Z tohoto varování může uživatel důvodně předpokládat, že e-mailový klient, do kterého se přihlašuje, bude nadále vystupovat jako e-mailový klient a že klient může odeslat některá omezená data ke zpracování v mrak. Nicméně, není tomu tak. Namísto ověřování vašeho e-mailového klienta jsou vaše přihlašovací údaje předány cloudu společnosti Microsoft, který se ověřuje vaším jménem. Od tohoto okamžiku je veškeré zpracování (včetně načítání vašich e-mailů) řešeno v cloudu. Nemohli jsme pozorovat žádný provoz putující přímo od klienta k našemu poskytovateli e-mailu.

To platí pro pracovní postupy OAuth i IMAP, ale nejvíce je to vidět při ověřování pomocí serveru IMAP třetí strany. V tomto případě klient Outlook vezme přihlašovací údaje IMAP poskytnuté vaším poskytovatelem e-mailu pro přístup k aplikaci a přenese je přímo do cloudu společnosti Microsoft přes TLS. Mohli bychom to reprodukovat nastavením transparentního serveru proxy typu man-in-the-middle mezi internetem a klientem Outlook, který by zachycoval šifrovaný provoz. Na níže uvedeném snímku obrazovky je naše heslo aplikace vygenerované od poskytovatele e-mailu třetí strany sdíleno a uloženo přímo na serverech společnosti Microsoft. Odpovědí na tento požadavek je přístupový a obnovovací token, který se používá k udržování trvalé ověřené relace se servery společnosti Microsoft.

Je to e-mailový klient nebo ne?

Outlook (nový) dělá lokálně méně, než si možná myslíte

Poskytovatel e-mailu, kterého v tomto příkladu používáme, zaznamená IP adresu a čas přístupu každého nového přihlášení. Pokud klient Outlook komunikoval přímo s naším poštovním serverem (tj. choval se jako klient), IP adresa, kterou poskytovatel e-mailu zaznamenává, by pak měla být stejná jako adresa počítače, na kterém používáme aplikaci Outlook na. Ve všech případech, kdy jsme to zkusili, nebylo zaznamenáno žádné připojení z naší domácí IP adresy. Místo toho pocházela počáteční připojení IMAP/SMTP z adresy IP 52.x.x.x. Rychlé vyhledání WHOIS ukazuje, že tato IP adresa je registrována u společnosti Microsoft. To by demonstrovalo, že „klient“ Outlooku není nic takového, funguje výhradně jako obal cloudových služeb Microsoftu a že náš místní klient se ve skutečnosti nikdy vůbec nepřihlásil.

„Klient“ Outlooku není nic takového, funguje výhradně jako obal cloudových služeb Microsoftu.

Zde je pro uživatele jasný problém. Pouhým přihlášením k novému klientovi Outlook uživatel efektivně poskytl cloudu společnosti Microsoft všeobecný a neomezený přístup k celému svému e-mailovému účtu. Jediná zmínka společnosti Microsoft o ochraně osobních údajů na odkazované stránce podpory je soubor odkazů na její prohlášení o ochraně osobních údajů a servisní smlouvy, které obě umožňují paušální přístup k vašim datům za účelem zlepšování produktů společnosti Microsoft a služby. Přinejmenším při ověřování pomocí OAuth2 většina poskytovatelů e-mailu nabízí jakési shrnutí ochrany osobních údajů (podobně jako v příkladu od Googlu níže). Při ověřování pomocí protokolu IMAP je uživatel obvykle varován ještě méně, přičemž většina poskytovatelů e-mailu předpokládá, že e-mailoví „klienti“ fungují alespoň jako klienti, nikoli jako brány do cloudu. Je také důležité poznamenat, že neexistuje žádný zřejmý způsob, jak odmítnout tuto integraci cloudu při přihlašování k libovolnému e-mailovému účtu nebo používat klienta v režimu s vypnutými některými funkcemi AI.

Přesunutí klientských funkcí e-mailu do cloudu také odstraňuje možnost bezpečnostních inženýrů nebo výzkumníků snadno kontrolovat, co klient dělá. Je možné sledovat požadavky na vaše data ze strany společnosti Microsoft (i když je to složité, protože uživatel by musel spustit svůj vlastní e-mail server s přístupem k jeho protokolům), ale to neumožňuje žádný údaj o tom, kolik případného dalšího zpracování zabere místo. Je také důležité si uvědomit, že tento přístup je trvalý. Již není možné zastavit přístup Microsoftu k vašim e-mailům pouhým zavřením aplikace Outlook. Uživatelé se mohou přihlásit k Outlooku na své ploše, aby si jej vyzkoušeli, rozhodli se, že se mu nelíbí, a jednoduše jej přestanou používat bez odhlášení. Dokud se uživatel neodhlásí (nebo nezruší relaci jinde), Microsoft si zachová trvalý přístup k jejich datům.

Nebezpečné precedenty pro data

Sběr dat u místních klientů může být příliš daleko

Sběr dat je nakonec něco, na co jsme všichni zvyklí, ať se nám to líbí nebo ne. Neexistence transparentního zveřejnění ze strany společnosti Microsoft a přibalování desktopových aplikací k získávání dat uživatelů do cloudu jsou však znepokojivé. Jemně přijímané licenční smlouvy společnosti Microsoft umožňují téměř neomezený sběr dat vylepšení nebo vytvoření nových nástrojů společnosti Microsoft, včetně použití vašich e-mailových dat k trénování generativní umělé inteligence nebo jiné nástroje.

V žádném okamžiku není jasné, že desktopová aplikace Outlook bude fungovat výhradně jako obal cloudové služby nebo jaké jsou limity a okolnosti, za kterých bude společnost Microsoft přistupovat k vašim datům v mrak. Vzhledem k rozsahu úsilí společnosti Microsoft do nových cloudových integrací AI a nedostatku jistoty v opačném případě je rozumné předpokládat, že Microsoft může tento druh dat používat pro školení nebo testování účely.

Nedostatek transparentního zveřejnění ze strany společnosti Microsoft a přibalování desktopových aplikací k tomu, aby se data uživatelů dostala do cloudu, jsou znepokojivé.

To může být vážný problém i pro podniky. Firemní koncový uživatel by mohl nevědomky poskytnout společnosti Microsoft přístup k velkým objemům obchodních nebo obchodně citlivých dat, což by mohlo porušit regulační nebo bezpečnostní požadavky. Pokud byla tato data poté použita k trénování generativních AI nebo jiných modelů strojového učení, které jsou veřejně vydány, je možné, že některé aspekty těchto dat by mohly být odhaleny pro kohokoli. Toto je extrémní scénář, ale je jasné, kde mohou být obavy.

Ať už jste zkušený uživatel v podnikání, správce systému dohlížející na síť nebo koncový uživatel Při hledání nového e-mailového klienta je důležité znát důsledky přihlášení pomocí Výhled. Microsoft sice nabízí prohlášení, že bude synchronizovat data do cloudu, ale bere mnohem víc svobod, než by uživatel mohl rozumně očekávat s ohledem na rozsah jejich přístupu a roli klienta Všechno.