Microsofts nye Outlook-klient flytter stille og roligt din e-mail til skyen

ComputingNov 27, 2023

Microsofts nye version af Outlook introducerer nogle kontroversielle datadelingsfunktioner

hurtige links

  • Hvad du kan forvente af det nye Outlook
  • Den nye Outlook har problematisk adfærd
  • Er det en e-mail-klient eller ej?
  • Farlige præcedenser for data

Microsoft introducerede for nylig en ny version af OutlookWindows pc'er. Det blev designet til at erstatte det aldrende Windows Mail og det klassiske Outlook, så det introducerer en smart ny design og væsentligt strammere cloud-integrationer, mens du kombinerer din e-mail og kalender i én app. Den introducerer også nye generative AI-funktioner, herunder skriveassistenter og "andre avancerede AI-funktioner."

Appen introducerer dog også nogle alvorlige privatlivsproblemer. Baseret på research fra den tyske blog heise.de, som vi har været i stand til at gengive hos XDA, ser det ud til, at den nye Outlook-app er langt mere stramt integreret med skyen, end en bruger kunne forvente, hvilket åbner op for potentielle Microsoft-data kollektion. Dette repræsenterer et betydeligt privatlivsproblem, så der er mange spørgsmål, Microsoft skal besvare om brugernes forventninger.

Hvad du kan forvente af det nye Outlook

E-mail er stadig e-mail, ikke?

Den nye version af Outlook har været tilgængelig siden begyndelsen af ​​september og introducerer en række nye funktioner. Appen indeholder allerede nye Copilot AI-funktioner, og Microsoft har erklæret, at den har til hensigt, at den nye version af Outlook skal erstatte den eksisterende Outlook-app inden for to år. Virksomheden har også annonceret en bredere liste over kommende funktioner, som sandsynligvis vil blive annonceret i de kommende måneder (især omkring AI-kapaciteter). Den nye app har også en frisk brugergrænseflade, der bringer den mere i overensstemmelse med Microsofts cloud-versioner af office-apps, samt tættere integration med andre Office-tjenester såsom Kalender og Word.

Den nye version af Outlook er tilgængelig i Microsoft Store nu som Outlook til Windows. Når den er installeret, appen i startmenuen som Outlook (ny).

Den nye Outlook har problematisk adfærd

Du er måske ikke klar over, hvad du tilmelder dig

Et skærmbillede, der viser privatlivsadvarslen fra Gmail-klienten til Outlook Desktop.

Når du åbner den nye Outlook-klient for første gang, bliver brugeren bedt om at logge på ligesom enhver anden e-mail-klient. Hvis du indtaster en e-mailadresse hos en almindelig udbyder, som Gmail eller iCloud, vil klienten bruge en Oauth2-arbejdsgang til at godkende med din browser. Hvis du indtaster et tredjepartsdomæne, bliver du bedt om en IMAP-adgangskode (hvis understøttet). Dette er alt sammen meget normalt for en e-mail-klient.

Men når du først er blevet godkendt, bliver du præsenteret for et uskadeligt vindue, der informerer dig om, at du skal bruge den nye version af Outlook, skal Microsoft synkronisere dine e-mails, begivenheder og kontakter til Microsoft Sky. En annulleringsmulighed er tilgængelig, men der er ingen mulighed for at afvise og fortsætte med at bruge din klient. EN support link er forsynet med nogle flere oplysninger, som forklarer, at adgangen muliggør funktioner såsom mail søgning, en fokuseret indbakke eller tilbagevendende møder, men giver ingen klar erklæring om grænserne for disse data kollektion.

Kilde: Microsoft

Ud fra denne advarsel kan en bruger med rimelighed antage, at den e-mail-klient, de logger på, vil fortsætte med at fungere som en e-mail-klient, og at klienten muligvis sender nogle begrænsede data til behandling i Sky. Det er dog ikke tilfældet. I stedet for at din e-mail-klient godkender, sendes dine legitimationsoplysninger til Microsoft-skyen, som godkendes på dine vegne. Fra dette tidspunkt bliver al behandling (inklusive hentning af dine e-mails) håndteret i skyen. Vi kunne ikke observere nogen trafik, der rejste direkte fra klienten til vores e-mail-udbyder.

Dette gælder både for OAuth- og IMAP-arbejdsgange, men er mest synligt, når der godkendes med en tredjeparts IMAP-server. I dette tilfælde tager Outlook-klienten IMAP-legitimationsoplysningerne fra din e-mail-udbyder for at få adgang til programmet og overfører dem direkte til Microsofts sky over TLS. Vi kunne genskabe dette ved at opsætte en gennemsigtig mand-i-midten proxy mellem internettet og Outlook-klienten for at opsnappe krypteret trafik. På skærmbilledet nedenfor deles vores app-adgangskode, der er genereret fra en tredjeparts e-mail-udbyder, og gemmes direkte med Microsofts servere. Svaret på denne anmodning er et adgangs- og opdateringstoken, der bruges til at opretholde en vedvarende autentificeret session med Microsofts servere.

Er det en e-mail-klient eller ej?

Outlook (ny) gør mindre lokalt, end du måske tror

E-mail-udbyderen, vi bruger til dette eksempel, registrerer IP-adressen og adgangstiden for hvert nyt login. Hvis Outlook-klienten kommunikerede direkte med vores mailserver (dvs. opførte sig som en klient burde), så skal den IP-adresse, som e-mail-udbyderen registrerer, være den samme som den computer, vi kører Outlook på. I hvert tilfælde, vi prøvede dette, blev der ikke registreret nogen forbindelse fra vores hjemme-IP-adresse. I stedet kom de første IMAP/SMTP-forbindelser fra en 52.x.x.x IP-adresse. Et hurtigt WHOIS-opslag viser, at denne IP-adresse er registreret hos Microsoft. Dette ville demonstrere, at Outlook-"klienten" ikke er noget af den slags, den fungerer udelukkende som en indpakning omkring Microsofts cloud-tjenester, og at vores lokale klient faktisk aldrig har logget på overhovedet.

Outlook-"klienten" er ikke noget af den slags, og fungerer udelukkende som en indpakning omkring Microsofts cloud-tjenester.

Der er et klart problem for brugeren her. Ved blot at logge ind på den nye Outlook-klient har en bruger effektivt forsynet Microsoft Cloud med tæppe og ubegrænset adgang til hele deres e-mail-konto. Microsofts eneste omtale af privatliv på den linkede supportside er et sæt links til dets fortrolighedserklæring og serviceaftaler, som begge giver generel adgang til dine data for at forbedre Microsoft-produkter og tjenester. I det mindste ved godkendelse med OAuth2 tilbyder de fleste e-mail-udbydere en form for privatlivsoversigt (svarende til eksemplet fra Google nedenfor). Når man godkender med IMAP, får en bruger normalt endnu mindre advarsler, hvor de fleste e-mail-udbydere antager, at e-mail-"klienter" i det mindste fungerer som klienter, ikke gateways til skyen. Det er også vigtigt at bemærke, at der ikke er nogen indlysende måde at afvise denne cloud-integration, når du logger ind på en e-mail-konto eller bruger klienten i en tilstand med nogle AI-funktioner deaktiveret.

Aflastningen af ​​klientfunktionaliteten af ​​e-mail til skyen fjerner også muligheden for, at sikkerhedsingeniører eller forskere nemt kan inspicere, hvad klienten laver. Det er muligt at spore anmodningerne på dine data fra Microsoft (omend vanskeligt, da en bruger skal køre sin egen e-mail server med adgang til sine logfiler), men dette giver ikke mulighed for nogen indikation af, hvor meget yderligere behandling, hvis nogen, tager placere. Det er også vigtigt at huske, at denne adgang er løbende. Det er ikke længere muligt at stoppe Microsofts adgang til dine e-mails ved blot at lukke Outlook. Brugere kan logge ind på Outlook på deres skrivebord for at teste det, beslutte, at de ikke kan lide det, og simpelthen stoppe med at bruge det uden at logge ud. Indtil brugeren logger ud (eller tilbagekalder sessionen et andet sted), beholder Microsoft løbende adgang til deres data.

Farlige præcedenser for data

Skohorning af dataindsamling til lokale kunder kan være et skridt for langt

Dataindsamling er i sidste ende noget, vi alle er vant til, uanset om vi kan lide det eller ej. Manglen på gennemsigtig afsløring her fra Microsoft og piggybacking af desktop-apps for at få brugernes data ind i skyen er bekymrende. Microsofts subtilt accepterede licensaftaler tillader næsten ubegrænset dataindsamling for forbedring eller oprettelse af nye Microsoft-værktøjer, herunder brug af dine e-mail-data til at træne generativ AI eller andre værktøjer.

Det er ikke på noget tidspunkt gjort klart, at Outlook-desktopappen udelukkende vil fungere som en indpakning cloud-tjenester eller hvilke begrænsninger og omstændigheder, hvorunder Microsoft vil få adgang til dine data i Sky. I betragtning af omfanget af Microsofts fremstød for nye cloud-baserede AI-integrationer og manglen på sikkerhed ellers er det rimeligt at antage, at Microsoft muligvis bruger denne type data til træning eller test formål.

Manglen på gennemsigtig afsløring her fra Microsoft og piggybacking af desktop-apps for at få brugernes data ind i skyen er bekymrende.

Dette kan også være et alvorligt problem for virksomheder. En virksomheds slutbruger kan uforvarende give Microsoft adgang til store mængder forretnings- eller kommercielt følsomme data, muligvis i strid med lovgivnings- eller sikkerhedskrav. Hvis disse data derefter blev brugt til at træne generative AI'er eller andre maskinlæringsmodeller, der er offentligt udgivet, er det muligt, at nogle aspekter af disse data kan blive vist for alle at få adgang til. Dette er et ekstremt scenarie, men det er klart, hvor bekymringerne kan ligge.

Uanset om du er en superbruger i erhvervslivet, en systemadministrator, der overvåger et netværk, eller en slutbruger leder efter en ny e-mail-klient, er det vigtigt at kende konsekvenserne af privatlivets fred ved at logge ind med Outlook. Mens Microsoft tilbyder en afsløring om, at det vil synkronisere data til skyen, tager det langt større friheder end en bruger med rimelighed ville forvente med omfanget af deres adgang og klientens rolle ved alle.