Der neue Outlook-Client von Microsoft verschiebt Ihre E-Mails leise in die Cloud

Microsoft hat kürzlich eine eingeführt neue Version von Outlook An Windows-PCs. Es wurde entwickelt, um das veraltete Windows Mail und das klassische Outlook zu ersetzen, und führt daher ein schickes neues Programm ein Design und deutlich engere Cloud-Integrationen bei gleichzeitiger Kombination von E-Mail und Kalender in einem App. Außerdem werden neue generative KI-Funktionen eingeführt, darunter Schreibhilfen und „andere erweiterte KI-Funktionen“.

Allerdings wirft die App auch einige ernsthafte Datenschutzbedenken auf. Basierend auf Recherchen des deutschen Blogs heise.de, die wir bei XDA reproduzieren konnten, scheint die neue Outlook-App weitaus straffer zu sein Es ist besser in die Cloud integriert, als ein Benutzer erwarten würde, und eröffnet so den Umfang potenzieller Microsoft-Daten Sammlung. Dies stellt ein erhebliches Datenschutzproblem dar, daher muss Microsoft viele Fragen zu den Benutzererwartungen beantworten.

Was Sie vom neuen Outlook erwarten können

E-Mail ist immer noch E-Mail, oder?

Die neue Version von Outlook ist seit Anfang September verfügbar und führt eine Reihe neuer Funktionen ein. Die App enthält bereits neue Copilot AI-Funktionen, und Microsoft hat erklärt, dass die neue Version von Outlook die bestehende Outlook-App innerhalb von zwei Jahren ersetzen soll. Das Unternehmen hat außerdem eine breitere Liste von angekündigt bevorstehende Funktionen, die voraussichtlich in den kommenden Monaten bekannt gegeben wird (insbesondere im Hinblick auf KI-Fähigkeiten). Die neue App verfügt außerdem über eine neue Benutzeroberfläche, die besser mit den Cloud-Versionen der Office-Apps von Microsoft übereinstimmt und eine engere Integration mit anderen Office-Diensten wie Kalender und Word bietet.

Die neue Version von Outlook ist jetzt im Microsoft Store als Outlook für Windows verfügbar. Nach der Installation wird die App im Startmenü als Outlook (neu) angezeigt.

Das neue Outlook weist problematisches Verhalten auf

Möglicherweise wissen Sie nicht, wofür Sie sich anmelden

Beim ersten Öffnen des neuen Outlook-Clients wird der Benutzer wie bei jedem anderen E-Mail-Client aufgefordert, sich anzumelden. Wenn Sie eine E-Mail-Adresse bei einem gängigen Anbieter wie Gmail oder iCloud eingeben, verwendet der Client einen Oauth2-Workflow zur Authentifizierung bei Ihrem Browser. Wenn Sie eine Drittanbieterdomäne eingeben, werden Sie zur Eingabe eines IMAP-Passworts aufgefordert (sofern unterstützt). Das ist alles ganz normal für einen E-Mail-Client.

Sobald Sie jedoch authentifiziert sind, wird Ihnen ein harmloses Fenster angezeigt, das Sie über die Verwendung informiert In der neuen Version von Outlook muss Microsoft Ihre E-Mails, Ereignisse und Kontakte mit Microsoft synchronisieren Wolke. Eine Kündigungsoption ist verfügbar, aber es gibt keine Möglichkeit, die Nutzung Ihres Clients abzulehnen und weiter zu nutzen. A Support-Link wird mit einigen weiteren Informationen versehen, die erklären, dass der Zugriff Funktionen wie E-Mail ermöglicht Suche, einen fokussierten Posteingang oder wiederkehrende Besprechungen, macht aber keine klare Aussage über die Grenzen dieser Daten Sammlung.

Aufgrund dieser Warnung kann ein Benutzer vernünftigerweise davon ausgehen, dass der E-Mail-Client, bei dem er sich anmeldet, dies tun wird weiterhin als E-Mail-Client fungieren und dass der Client möglicherweise einige begrenzte Daten zur Verarbeitung im sendet Wolke. Dies ist jedoch nicht der Fall. Anstatt dass sich Ihr E-Mail-Client authentifiziert, werden Ihre Anmeldeinformationen an die Microsoft-Cloud weitergeleitet, die in Ihrem Namen die Authentifizierung durchführt. Ab diesem Zeitpunkt erfolgt die gesamte Verarbeitung (einschließlich des Abrufs Ihrer E-Mails) in der Cloud. Wir konnten keinen direkten Datenverkehr vom Kunden zu unserem E-Mail-Anbieter beobachten.

Dies gilt sowohl für OAuth- als auch für IMAP-Workflows, wird jedoch am deutlichsten bei der Authentifizierung mit einem IMAP-Server eines Drittanbieters sichtbar. In diesem Fall nutzt der Outlook-Client die von Ihrem E-Mail-Anbieter bereitgestellten IMAP-Anmeldeinformationen für den Zugriff auf die Anwendung und überträgt sie über TLS direkt an die Cloud von Microsoft. Wir könnten dies reproduzieren, indem wir einen transparenten Man-in-the-Middle-Proxy zwischen dem Internet und dem Outlook-Client einrichten, um verschlüsselten Datenverkehr abzufangen. Im Screenshot unten wird unser von einem E-Mail-Drittanbieter generiertes App-Passwort direkt an die Server von Microsoft weitergegeben und gespeichert. Die Antwort auf diese Anfrage ist ein Zugriffs- und Aktualisierungstoken, das zur Aufrechterhaltung einer dauerhaften authentifizierten Sitzung mit den Servern von Microsoft verwendet wird.

Handelt es sich um einen E-Mail-Client oder nicht?

Outlook (neu) macht lokal weniger, als Sie vielleicht denken

Der E-Mail-Anbieter, den wir für dieses Beispiel verwenden, zeichnet die IP-Adresse und die Zugriffszeit jeder neuen Anmeldung auf. Wenn der Outlook-Client direkt mit unserem Mailserver kommuniziert (d. h. sich wie ein Client verhält), Dann sollte die IP-Adresse, die der E-Mail-Anbieter aufzeichnet, mit der des Computers übereinstimmen, auf dem wir Outlook ausführen An. In jedem Fall, in dem wir dies versuchten, wurde von unserer Heimat-IP-Adresse aus keine Verbindung aufgezeichnet. Stattdessen kamen die ersten IMAP/SMTP-Verbindungen von einer IP-Adresse 52.x.x.x. Eine schnelle WHOIS-Suche zeigt, dass diese IP-Adresse bei Microsoft registriert ist. Dies würde zeigen, dass der Outlook-„Client“ nichts dergleichen ist, sondern ausschließlich als Wrapper für die Cloud-Dienste von Microsoft fungiert und dass sich unser lokaler Client nie wirklich angemeldet hat.

Der Outlook-„Client“ ist nichts dergleichen und fungiert ausschließlich als Hülle für die Cloud-Dienste von Microsoft.

Hier liegt ein klares Problem für den Benutzer vor. Durch die einfache Anmeldung beim neuen Outlook-Client hat ein Benutzer der Microsoft Cloud effektiv umfassenden und uneingeschränkten Zugriff auf sein gesamtes E-Mail-Konto gewährt. Microsofts einzige Erwähnung des Datenschutzes auf der verlinkten Support-Seite ist eine Reihe von Links zu seiner Datenschutzerklärung und Serviceverträge, die beide einen umfassenden Zugriff auf Ihre Daten zur Verbesserung von Microsoft-Produkten ermöglichen Dienstleistungen. Zumindest bei der Authentifizierung mit OAuth2 bieten die meisten E-Mail-Anbieter eine Art Datenschutzzusammenfassung an (ähnlich dem Beispiel von Google unten). Bei der Authentifizierung mit IMAP wird ein Benutzer normalerweise noch weniger gewarnt, da die meisten E-Mail-Anbieter davon ausgehen, dass E-Mail-„Clients“ zumindest als Clients und nicht als Gateways zur Cloud fungieren. Es ist auch wichtig zu beachten, dass es keine offensichtliche Möglichkeit gibt, diese Cloud-Integration abzulehnen, wenn Sie sich bei einem E-Mail-Konto anmelden oder den Client in einem Modus verwenden, in dem einige KI-Funktionen deaktiviert sind.

Durch die Auslagerung der Client-Funktionalität von E-Mails in die Cloud wird den Sicherheitsingenieuren oder Forschern auch die Möglichkeit entzogen, die Aktivitäten des Clients einfach zu überprüfen. Es ist möglich, die Anfragen zu Ihren Daten von Microsoft zu verfolgen (wenn auch schwierig, da ein Benutzer seine eigenen E-Mails ausführen müsste). Server mit Zugriff auf seine Protokolle), aber dies erlaubt keinen Hinweis darauf, wie viel zusätzliche Verarbeitung, wenn überhaupt, erforderlich ist Ort. Es ist auch wichtig zu bedenken, dass dieser Zugriff fortlaufend ist. Es ist nicht mehr möglich, den Zugriff von Microsoft auf Ihre E-Mails durch einfaches Schließen von Outlook zu stoppen. Benutzer können sich auf ihrem Desktop bei Outlook anmelden, um es zu testen, entscheiden, dass es ihnen nicht gefällt, und die Verwendung einfach beenden, ohne sich abzumelden. Bis sich der Benutzer abmeldet (oder die Sitzung an anderer Stelle widerruft), behält Microsoft weiterhin Zugriff auf seine Daten.

Gefährliche Präzedenzfälle für Daten

Die Datenerfassung auf lokale Kunden zu beschränken, ist möglicherweise ein Schritt zu weit

Letztlich ist die Datenerfassung etwas, woran wir alle gewöhnt sind, ob es uns gefällt oder nicht. Besorgniserregend sind jedoch der Mangel an transparenter Offenlegung seitens Microsoft und die Nutzung von Desktop-Apps, um Benutzerdaten in die Cloud zu übertragen. Die subtil akzeptierten Lizenzvereinbarungen von Microsoft ermöglichen eine nahezu unbegrenzte Datenerfassung für Verbesserung oder Erstellung neuer Microsoft-Tools, einschließlich der Verwendung Ihrer E-Mail-Daten zum Trainieren generativer KI oder andere Werkzeuge.

Es wird zu keinem Zeitpunkt klargestellt, dass die Outlook-Desktop-App ausschließlich als Wrapper fungieren wird Cloud-Dienste oder die Grenzen und Umstände, unter denen Microsoft auf Ihre Daten in den Cloud-Diensten zugreift Wolke. Angesichts des Ausmaßes des Vorstoßes von Microsoft in neue Cloud-basierte KI-Integrationen und der mangelnden Sicherheit Andernfalls kann davon ausgegangen werden, dass Microsoft diese Art von Daten möglicherweise für Schulungen oder Tests verwendet Zwecke.

Der Mangel an transparenter Offenlegung seitens Microsoft und die Nutzung von Desktop-Apps, um Benutzerdaten in die Cloud zu übertragen, sind besorgniserregend.

Dies kann auch für Unternehmen ein ernstes Problem darstellen. Ein Unternehmensendbenutzer könnte Microsoft unabsichtlich Zugriff auf große Mengen geschäftlicher oder kommerziell sensibler Daten gewähren, möglicherweise unter Verstoß gegen gesetzliche Vorschriften oder Sicherheitsanforderungen. Wenn diese Daten dann verwendet würden, um generative KIs oder andere öffentlich veröffentlichte Modelle des maschinellen Lernens zu trainieren, könnten einige Aspekte dieser Daten für jedermann zugänglich gemacht werden. Dies ist ein Extremszenario, aber es ist klar, wo Bedenken bestehen könnten.

Egal, ob Sie ein Power-User im Unternehmen, ein Systemadministrator, der ein Netzwerk überwacht, oder ein Endbenutzer sind Wenn Sie nach einem neuen E-Mail-Client suchen, ist es wichtig, die Auswirkungen der Anmeldung auf den Datenschutz zu kennen Ausblick. Microsoft gibt zwar bekannt, dass es Daten mit der Cloud synchronisieren wird, nimmt aber weit mehr in Anspruch Freiheiten, als ein Benutzer aufgrund des Umfangs seines Zugriffs und der Rolle des Kunden vernünftigerweise erwarten würde alle.