El nuevo cliente Outlook de Microsoft traslada silenciosamente su correo electrónico a la nube

Microsoft presentó recientemente un nueva versión de Outlook en PC con Windows. Fue diseñado para reemplazar el antiguo Windows Mail y el clásico Outlook, por lo que presenta una nueva y elegante diseño e integraciones en la nube significativamente más estrechas mientras combina su correo electrónico y calendario en uno aplicación. También introduce nuevas funciones de IA generativa, incluidas ayudas para la escritura y "otras funciones avanzadas de IA".

Sin embargo, la aplicación también presenta algunas preocupaciones serias sobre la privacidad. Basado en una investigación del blog alemán. heise.de, que hemos podido reproducir en XDA, parece que la nueva aplicación Outlook es mucho más ajustada integrado con la nube de lo que un usuario podría esperar, abriendo el alcance de posibles datos de Microsoft recopilación. Esto representa un importante problema de privacidad, por lo que hay muchas preguntas que Microsoft debe responder sobre las expectativas de los usuarios.

Qué puedes esperar del nuevo Outlook

El correo electrónico sigue siendo correo electrónico, ¿verdad?

La nueva versión de Outlook está disponible desde principios de septiembre e introduce una serie de funciones nuevas. La aplicación ya incluye nuevas características de Copilot AI, y Microsoft ha declarado que tiene la intención de que la nueva versión de Outlook reemplace la aplicación Outlook existente dentro de dos años. La compañía también ha anunciado una lista más amplia de próximas funciones, que probablemente se anunciará en los próximos meses (particularmente en torno a las capacidades de IA). La nueva aplicación también tiene una interfaz de usuario nueva, que la alinea más con las versiones en la nube de las aplicaciones de Office de Microsoft, así como una integración más estrecha con otros servicios de Office como Calendario y Word.

La nueva versión de Outlook ya está disponible en Microsoft Store como Outlook para Windows. Una vez instalada, la aplicación en el menú inicio como Outlook (nuevo).

El nuevo Outlook tiene un comportamiento problemático

Quizás no te des cuenta de en qué te estás registrando

Al abrir el nuevo cliente Outlook por primera vez, se le pide al usuario que inicie sesión como cualquier otro cliente de correo electrónico. Si ingresa una dirección de correo electrónico con un proveedor común, como Gmail o iCloud, el cliente utilizará un flujo de trabajo Oauth2 para autenticarse con su navegador. Si ingresa un dominio de terceros, se le solicitará una contraseña IMAP (si es compatible). Todo esto es muy normal para un cliente de correo electrónico.

Sin embargo, una vez que esté autenticado, se le presentará una ventana inofensiva que le informará que debe usar la nueva versión de Outlook, Microsoft necesitará sincronizar sus correos electrónicos, eventos y contactos con Microsoft Nube. Hay una opción de cancelación disponible, pero no hay opción para rechazar y continuar usando su cliente. A enlace de soporte se proporciona más información, lo que explica que el acceso habilita funciones como el correo búsqueda, una bandeja de entrada enfocada o reuniones recurrentes, pero no hace una declaración clara de los límites de estos datos recopilación.

A partir de esta advertencia, un usuario podría asumir razonablemente que el cliente de correo electrónico en el que está iniciando sesión continuar actuando como cliente de correo electrónico y que el cliente podría enviar algunos datos limitados para su procesamiento en el nube. Sin embargo, ese no es el caso. En lugar de que su cliente de correo electrónico se autentique, sus credenciales se pasan a la nube de Microsoft, que se autentica en su nombre. A partir de este punto, todo el procesamiento (incluida la recuperación de sus correos electrónicos) se realiza en la nube. No pudimos observar ningún tráfico que viajara directamente desde el cliente a nuestro proveedor de correo electrónico.

Esto se aplica tanto a los flujos de trabajo OAuth como a IMAP, pero es más visible cuando se autentica con un servidor IMAP de terceros. En este caso, el cliente Outlook toma las credenciales IMAP proporcionadas por su proveedor de correo electrónico para acceder a la aplicación y las transfiere directamente a la nube de Microsoft a través de TLS. Podríamos reproducir esto configurando un proxy intermediario transparente entre Internet y el cliente Outlook para interceptar el tráfico cifrado. En la captura de pantalla siguiente, la contraseña de nuestra aplicación generada a partir de un proveedor de correo electrónico externo se comparte y almacena directamente en los servidores de Microsoft. La respuesta a esta solicitud es un token de acceso y actualización que se utiliza para mantener una sesión autenticada persistente con los servidores de Microsoft.

¿Es un cliente de correo electrónico o no?

Outlook (nuevo) hace menos localmente de lo que piensas

El proveedor de correo electrónico que utilizamos para este ejemplo registra la dirección IP y la hora de acceso de cada nuevo inicio de sesión. Si el cliente Outlook se comunicaba directamente con nuestro servidor de correo (es decir, actuaba como debería hacerlo un cliente), entonces la dirección IP que registra el proveedor de correo electrónico debe ser la misma que la de la computadora en la que ejecutamos Outlook. en. En cada caso que intentamos esto, no se registró ninguna conexión desde la dirección IP de nuestra casa. En cambio, las conexiones IMAP/SMTP iniciales provinieron de una dirección IP 52.x.x.x. Una búsqueda rápida de WHOIS muestra que esta dirección IP está registrada con Microsoft. Esto demostraría que el "cliente" de Outlook no es nada por el estilo, que actúa enteramente como un envoltorio alrededor de los servicios en la nube de Microsoft y que nuestro cliente local nunca ha iniciado sesión en absoluto.

El "cliente" de Outlook no es nada de eso, ya que actúa enteramente como un envoltorio alrededor de los servicios en la nube de Microsoft.

Aquí hay un problema claro para el usuario. Con solo iniciar sesión en el nuevo cliente Outlook, un usuario ha proporcionado efectivamente a Microsoft Cloud acceso general y sin restricciones a toda su cuenta de correo electrónico. La única mención que Microsoft hace de la privacidad en la página de soporte vinculada es un conjunto de enlaces a su declaración de privacidad y acuerdos de servicio, los cuales permiten el acceso general a sus datos para mejorar los productos de Microsoft y servicios. Al menos al autenticarse con OAuth2, la mayoría de los proveedores de correo electrónico ofrecen algún tipo de resumen de privacidad (similar al ejemplo de Google a continuación). Al autenticarse con IMAP, un usuario normalmente recibe incluso menos advertencias, y la mayoría de los proveedores de correo electrónico asumen que los "clientes" de correo electrónico actúan al menos como clientes, no como puertas de enlace a la nube. También es importante tener en cuenta que no existe una forma obvia de rechazar esta integración en la nube al iniciar sesión en cualquier cuenta de correo electrónico o usar el cliente en un modo con algunas funciones de IA deshabilitadas.

La descarga de la funcionalidad del correo electrónico del cliente a la nube también elimina la capacidad de los ingenieros o investigadores de seguridad de inspeccionar fácilmente lo que está haciendo el cliente. Es posible realizar un seguimiento de las solicitudes realizadas sobre sus datos por parte de Microsoft (aunque es complicado, ya que un usuario necesitaría ejecutar su propio correo electrónico). servidor con acceso a sus registros), pero esto no permite ninguna indicación sobre cuánto procesamiento adicional, si corresponde, se está llevando lugar. También es importante recordar que este acceso es continuo. Ya no es posible detener el acceso de Microsoft a sus correos electrónicos simplemente cerrando Outlook. Los usuarios pueden iniciar sesión en Outlook en su escritorio para probarlo, decidir que no les gusta y simplemente dejar de usarlo sin cerrar sesión. Hasta que el usuario cierre sesión (o revoque la sesión en otro lugar), Microsoft conservará el acceso continuo a sus datos.

Precedentes peligrosos para los datos

La recopilación de datos con calzador en clientes locales puede ser un paso demasiado lejos

La recopilación de datos es, en última instancia, algo a lo que todos estamos acostumbrados, nos guste o no. Sin embargo, la falta de divulgación transparente por parte de Microsoft y el uso de aplicaciones de escritorio para llevar los datos de los usuarios a la nube son preocupantes. Los acuerdos de licencia sutilmente aceptados por Microsoft permiten una recopilación de datos casi ilimitada para el mejora o creación de nuevas herramientas de Microsoft, incluido el uso de sus datos de correo electrónico para entrenar IA generativa o otras herramientas.

No queda claro en ningún momento que la aplicación de escritorio de Outlook actuará como un contenedor exclusivamente servicios en la nube o cuáles son los límites y circunstancias bajo las cuales Microsoft accederá a sus datos en el nube. Dado el alcance del impulso de Microsoft hacia nuevas integraciones de IA basadas en la nube y la falta de garantía de lo contrario, es razonable suponer que Microsoft puede estar utilizando este tipo de datos para capacitación o pruebas. propósitos.

La falta de divulgación transparente por parte de Microsoft y el uso de aplicaciones de escritorio para llevar los datos de los usuarios a la nube son preocupantes.

Esto también puede ser un problema grave para las empresas. Un usuario final corporativo podría, sin saberlo, proporcionar a Microsoft acceso a grandes volúmenes de datos comerciales o comerciales confidenciales, posiblemente en violación de los requisitos normativos o de seguridad. Si estos datos se utilizaron luego para entrenar IA generativas u otros modelos de aprendizaje automático que se publican públicamente, es posible que algunos aspectos de esos datos salgan a la luz para que cualquiera pueda acceder. Este es un escenario extremo, pero está claro dónde podrían radicar las preocupaciones.

Ya sea un usuario avanzado en una empresa, un administrador de sistemas que supervisa una red o un usuario final Al buscar un nuevo cliente de correo electrónico, es importante conocer las implicaciones de privacidad de iniciar sesión con Panorama. Microsoft, aunque anuncia que sincronizará datos con la nube, está tomando medidas mucho mayores. libertades de las que un usuario razonablemente esperaría con el alcance de su acceso y el rol del cliente en todo.