Microsofti uus Outlooki klient viib teie meili vaikselt pilve

Microsoft tutvustas hiljuti a Outlooki uus versioon peal Windowsi arvutid. Selle eesmärk oli asendada vananev Windows Mail ja klassikaline Outlook, nii et see tutvustab uut disain ja oluliselt tihedamad pilveintegratsioonid, ühendades samal ajal teie meili ja kalendri üheks rakendus. See tutvustab ka uusi generatiivseid AI funktsioone, sealhulgas kirjutamisabi ja "muud täiustatud AI funktsioonid".

Rakendus toob aga kaasa ka tõsiseid privaatsusprobleeme. Põhineb Saksa ajaveebi uurimistööl heise.de, mida oleme suutnud XDA-s reprodutseerida, tundub, et uus Outlooki rakendus on palju tihedam pilvega integreeritud, kui kasutaja võiks oodata, avades potentsiaalsete Microsofti andmete ulatuse kogumine. See kujutab endast olulist privaatsusprobleemi, seega on Microsoftil kasutajate ootuste kohta palju küsimusi.

Mida võite uuelt Outlookilt oodata

E-post on ikka meil, eks?

Outlooki uus versioon on olnud saadaval alates septembri algusest ja sisaldab mitmeid uusi funktsioone. Rakendus juba sisaldab uued Copilot AI funktsioonidja Microsoft on teatanud, et kavatseb Outlooki uue versiooniga olemasoleva Outlooki rakenduse kahe aasta jooksul välja vahetada. Ettevõte on teatanud ka laiemast nimekirjast tulevased funktsioonid, millest teatatakse tõenäoliselt lähikuudel (eriti tehisintellekti võimaluste osas). Uuel rakendusel on ka värske kasutajaliides, mis viib selle paremini kooskõlla Microsofti kontorirakenduste pilveversioonidega, samuti on see tihedamalt integreeritud teiste Office'i teenustega, nagu Calendar ja Word.

Outlooki uus versioon on nüüd saadaval Microsoft Store'is kui Outlook for Windows. Pärast installimist on rakendus Start-menüüs Outlook (uus).

Uuel Outlookil on probleemne käitumine

Te ei pruugi arugi saada, milleks registreerute

Uue Outlooki kliendi esmakordsel avamisel palutakse kasutajal sisse logida sarnaselt kõigi teiste meiliklientidega. Kui sisestate tavalise teenusepakkuja e-posti aadressi (nt Gmail või iCloud), kasutab klient teie brauseris autentimiseks Oauth2 töövoogu. Kui sisestate kolmanda osapoole domeeni, küsitakse teilt IMAP-parooli (kui seda toetatakse). See kõik on e-posti kliendi jaoks väga normaalne.

Kuid pärast autentimist kuvatakse teile kahjutu aken, mis teavitab teid selle kasutamisest Outlooki uues versioonis peab Microsoft teie meilid, sündmused ja kontaktid Microsoftiga sünkroonima Pilv. Tühistamisvõimalus on saadaval, kuid keelduda ja kliendi kasutamist jätkata ei saa. A tugi link on varustatud täiendava teabega, mis selgitab, et juurdepääs võimaldab selliseid funktsioone nagu meil otsingut, fokuseeritud postkasti või korduvaid koosolekuid, kuid ei anna nende andmete piire selgelt välja kogumine.

Selle hoiatuse põhjal võib kasutaja põhjendatult eeldada, et meiliklient, kuhu ta sisse logib, teeb seda jätkata e-posti kliendina tegutsemist ja et klient võib saata teatud piiratud andmeid töötlemiseks pilv. See pole aga nii. E-posti kliendi autentimise asemel edastatakse teie mandaadid Microsofti pilve, mis autentib teie nimel. Sellest hetkest alates toimub kogu töötlemine (sh teie meilide toomine) pilves. Me ei suutnud jälgida liiklust, mis liiguks otse kliendilt meie meiliteenuse pakkujale.

See kehtib nii OAuthi kui ka IMAP-i töövoogude kohta, kuid on kõige nähtavamalt kolmanda osapoole IMAP-serveriga autentimisel. Sel juhul võtab Outlooki klient rakendusele juurdepääsuks teie meiliteenuse pakkuja antud IMAP-mandaadid ja edastab need TLS-i kaudu otse Microsofti pilve. Võiksime seda reprodutseerida, seadistades krüptitud liikluse pealtkuulamiseks Interneti ja Outlooki kliendi vahel läbipaistva keskmise puhverserveri. Alloleval ekraanipildil jagatakse meie rakenduse parooli, mis on loodud kolmanda osapoole meiliteenuse pakkujalt, ja talletatakse otse Microsofti serverites. Vastus sellele päringule on juurdepääsu- ja värskendusluba, mida kasutatakse püsiva autentitud seansi säilitamiseks Microsofti serveritega.

Kas see on meiliklient või mitte?

Outlook (uus) teeb kohalikul tasandil vähem hakkama, kui arvate

Selle näite jaoks kasutatav meiliteenuse pakkuja salvestab iga uue sisselogimise IP-aadressi ja juurdepääsuaja. Kui Outlooki klient suhtles otse meie meiliserveriga (st käitus nii, nagu klient peaks), siis peaks meiliteenuse pakkuja salvestatud IP-aadress olema sama mis arvutil, milles Outlook töötab peal. Igal juhul proovisime seda, meie kodust IP-aadressilt ühendust ei salvestatud. Selle asemel tulid esialgsed IMAP/SMTP-ühendused 52.x.x.x IP-aadressilt. Kiire WHOIS-otsing näitab, et see IP-aadress on Microsoftis registreeritud. See näitaks, et Outlooki "klient" pole midagi sarnast, toimides täielikult Microsofti pilveteenuste ümber ja et meie kohalik klient pole kunagi tegelikult sisse loginud.

Outlooki "klient" pole midagi sarnast, toimides täielikult Microsofti pilveteenuste ümber.

Siin on kasutaja jaoks selge probleem. Lihtsalt uude Outlooki klienti sisse logides on kasutaja andnud Microsoft Cloudile tõhusa ja piiramatu juurdepääsu kogu oma meilikontole. Microsofti ainus mainimine privaatsuse kohta lingitud tugilehel on linkide komplekt selle privaatsusavaldusele ja teenuselepingud, mis mõlemad võimaldavad täielikku juurdepääsu teie andmetele Microsofti toodete täiustamiseks ja teenuseid. Vähemalt OAuth2-ga autentimisel pakuvad enamik e-posti teenusepakkujaid mingisugust privaatsuse kokkuvõtet (sarnaselt allpool toodud Google'i näitega). IMAP-iga autentimisel hoiatatakse kasutajat tavaliselt veelgi vähem, enamik meiliteenuse pakkujaid eeldab, et meili "kliendid" tegutsevad vähemalt klientidena, mitte pilve lüüsidena. Samuti on oluline märkida, et mis tahes e-posti kontole sisselogimisel või kliendi kasutamisel režiimis, kus mõned tehisintellekti funktsioonid on keelatud, pole ilmselget võimalust pilve integreerimisest keelduda.

Kliendi meilifunktsioonide pilve laadimine eemaldab ka turbeinseneridelt või -uurijatelt võimaluse kliendi tegevust hõlpsalt kontrollida. Microsoftilt teie andmetele tehtud päringuid on võimalik jälgida (kuigi see on keeruline, kuna kasutaja peab ise käivitama oma meili server, millel on juurdepääs oma logidele), kuid see ei võimalda anda teavet selle kohta, kui palju täiendavat töötlemist, kui üldse, kulub koht. Samuti on oluline meeles pidada, et see juurdepääs on pooleli. Microsofti juurdepääsu teie meilidele ei ole enam võimalik lihtsalt Outlooki sulgemisega peatada. Kasutajad võivad oma töölaual Outlooki sisse logida, et seda testida, otsustada, et see neile ei meeldi, ja lihtsalt lõpetada selle kasutamise ilma välja logimata. Kuni kasutaja välja logib (või seansi mujal tühistab), säilitab Microsoft pideva juurdepääsu nende andmetele.

Ohtlikud pretsedendid andmetele

Andmete kogumine kohalikele klientidele võib olla samm liiga kaugele

Andmete kogumine on lõppkokkuvõttes asi, millega me kõik oleme harjunud, meeldib see meile või mitte. Murettekitav on aga Microsofti läbipaistva avalikustamise puudumine ja töölauarakenduste lisamine kasutajate andmete pilve viimiseks. Microsofti peenelt aktsepteeritud litsentsilepingud võimaldavad koguda peaaegu piiramatult andmeid Microsofti uute tööriistade täiustamine või loomine, sealhulgas oma meiliandmete kasutamine generatiivse AI koolitamiseks või muud tööriistad.

Ühelgi hetkel pole selgeks tehtud, et Outlooki töölauarakendus toimib ainult ümbrisena pilveteenused või millised on piirangud ja asjaolud, mille alusel Microsoft pääseb juurde teie andmetele pilv. Arvestades Microsofti uute pilvepõhiste AI-integratsioonide ulatust ja kindluse puudumist vastasel juhul on mõistlik eeldada, et Microsoft kasutab seda tüüpi andmeid koolituseks või testimiseks eesmärkidel.

Murettekitavad on Microsofti läbipaistva avalikustamise puudumine ja töölauarakenduste lisamine kasutajate andmete pilve viimiseks.

See võib olla tõsine probleem ka ettevõtetele. Ettevõtte lõppkasutaja võib tahtmatult anda Microsoftile juurdepääsu suurele hulgale äri- või äriliselt tundlikele andmetele, rikkudes sellega regulatiivseid või turvanõudeid. Kui neid andmeid kasutati seejärel generatiivsete AI-de või muude avalikult avaldatavate masinõppemudelite koolitamiseks, on võimalik, et nende andmete mõned aspektid võivad olla kõigile kättesaadavad. See on äärmuslik stsenaarium, kuid on selge, kus võivad tekkida mured.

Olenemata sellest, kas olete ärikasutaja, võrku jälgiv süsteemiadministraator või lõppkasutaja Kui otsite uut meiliklienti, on oluline teada, millist mõju avaldab privaatsusele sisselogimine Väljavaade. Kuigi Microsoft avalikustab, et sünkroonib andmed pilvega, kulub palju rohkem vabadused, mida kasutaja oma juurdepääsu ulatuse ja kliendi rolliga mõistlikult eeldaks kõik.