Microsoftin uusi Outlook-versio sisältää joitain kiistanalaisia tietojen jakamisominaisuuksia
Pikalinkit
- Mitä voit odottaa uudelta Outlookilta
- Uudessa Outlookissa on ongelmallinen toiminta
- Onko se sähköpostiohjelma vai ei?
- Datalle vaarallisia ennakkotapauksia
Microsoft esitteli äskettäin a Outlookin uusi versio päällä Windows PC: t. Se on suunniteltu korvaamaan vanhentunut Windows Mail ja klassinen Outlook, joten se esittelee hienon uuden suunnittelu ja huomattavasti tiukemmat pilviintegraatiot samalla kun yhdistät sähköpostisi ja kalenterisi yhdeksi sovellus. Se esittelee myös uusia generatiivisia tekoälyominaisuuksia, kuten kirjoitusapua ja "muita edistyneitä tekoälyominaisuuksia".
Sovellus sisältää kuitenkin myös vakavia tietosuojaongelmia. Perustuu saksalaisen blogin tutkimukseen heise.de, jonka olemme voineet toistaa XDA: ssa, näyttää siltä, että uusi Outlook-sovellus on paljon tiukempi integroitu pilveen kuin käyttäjä voi odottaa, mikä avaa mahdollisen Microsoft-datan laajuuden kokoelma. Tämä on merkittävä tietosuojaongelma, joten Microsoftin on vastattava käyttäjien odotuksiin liittyviin kysymyksiin.
Mitä voit odottaa uudelta Outlookilta
Sähköposti on edelleen sähköpostia, eikö niin?
Outlookin uusi versio on ollut saatavilla syyskuun alusta lähtien, ja se sisältää joukon uusia ominaisuuksia. Sovellus sisältää jo uusia Copilot AI -ominaisuuksia, ja Microsoft on ilmoittanut, että se aikoo korvata Outlookin uuden version nykyisen Outlook-sovelluksen kahden vuoden kuluessa. Yhtiö on myös julkistanut laajemman luettelon tulevia ominaisuuksia, joka julkaistaan todennäköisesti lähikuukausina (erityisesti tekoälyominaisuuksien osalta). Uudessa sovelluksessa on myös tuore käyttöliittymä, joka tuo sen paremmin linjaan Microsoftin toimistosovellusten pilviversioiden kanssa sekä tiiviimmän integraation muihin Office-palveluihin, kuten Kalenteriin ja Wordiin.
Outlookin uusi versio on nyt saatavilla Microsoft Storesta Outlook for Windows -nimellä. Asennuksen jälkeen sovellus käynnistysvalikossa Outlookina (uusi).
Uudessa Outlookissa on ongelmallinen toiminta
Et ehkä ymmärrä, mihin olet ilmoittautunut
Kun uusi Outlook-asiakasohjelma avataan ensimmäisen kerran, käyttäjää pyydetään kirjautumaan sisään aivan kuten kaikki muut sähköpostiohjelmat. Jos annat sähköpostiosoitteen, jolla on yleinen palveluntarjoaja, kuten Gmail tai iCloud, asiakas käyttää Oauth2-työnkulkua selaimesi todentamiseen. Jos annat kolmannen osapuolen verkkotunnuksen, sinua pyydetään antamaan IMAP-salasana (jos tuettu). Tämä kaikki on hyvin normaalia sähköpostiohjelmalle.
Kuitenkin, kun olet todennettu, sinulle esitetään harmiton ikkuna, jossa kerrotaan, että sinun tulee käyttää Outlookin uudessa versiossa Microsoftin on synkronoitava sähköpostisi, tapahtumasi ja yhteystietosi Microsoftiin Pilvi. Peruutusvaihtoehto on käytettävissä, mutta ei ole mahdollisuutta kieltäytyä ja jatkaa asiakkaasi käyttöä. A tukilinkki sisältää lisätietoja, mikä selittää, että pääsy mahdollistaa ominaisuudet, kuten sähköpostin hakuun, kohdistettuun postilaatikkoon tai toistuviin kokouksiin, mutta ei kerro selkeästi näiden tietojen rajoja kokoelma.
Lähde: Microsoft
Tämän varoituksen perusteella käyttäjä voi kohtuudella olettaa, että sähköpostiohjelma, johon hän kirjautuu, tekee sen jatkaa toimimista sähköpostiohjelmana ja että asiakas saattaa lähettää rajoitettuja tietoja käsiteltäväksi pilvi. Näin ei kuitenkaan ole. Sen sijaan, että sähköpostiohjelmasi todistuisi, kirjautumistietosi välitetään Microsoft-pilveen, joka todentaa puolestasi. Tästä eteenpäin kaikki käsittely (mukaan lukien sähköpostien nouto) hoidetaan pilvessä. Emme voineet havaita liikennettä, joka kulki suoraan asiakkaalta sähköpostipalveluntarjoajallemme.
Tämä pätee sekä OAuth- että IMAP-työnkulkuihin, mutta näkyy parhaiten todennuksen yhteydessä kolmannen osapuolen IMAP-palvelimella. Tässä tapauksessa Outlook-asiakasohjelma ottaa sähköpostipalveluntarjoajaltasi toimittamat IMAP-tunnisteet päästäkseen sovellukseen ja siirtää ne suoraan Microsoftin pilveen TLS: n kautta. Voisimme toistaa tämän asettamalla läpinäkyvän välityspalvelimen Internetin ja Outlook-asiakkaan välille salatun liikenteen sieppaamiseksi. Alla olevassa kuvakaappauksessa kolmannen osapuolen sähköpostipalveluntarjoajan luoma sovelluksemme salasana jaetaan ja tallennetaan suoraan Microsoftin palvelimille. Vastaus tähän pyyntöön on käyttöoikeus- ja päivitystunnus, jota käytetään ylläpitämään jatkuvaa todennettua istuntoa Microsoftin palvelimien kanssa.
Onko se sähköpostiohjelma vai ei?
Outlook (uusi) toimii vähemmän paikallisesti kuin uskotkaan
Tässä esimerkissä käyttämämme sähköpostipalveluntarjoaja tallentaa jokaisen uuden kirjautumisen IP-osoitteen ja pääsyajan. Jos Outlook-asiakas oli yhteydessä suoraan sähköpostipalvelimeemme (eli toimi kuten asiakkaan pitäisi), Sähköpostipalveluntarjoajan tallentaman IP-osoitteen tulee olla sama kuin Outlookia käyttävässä tietokoneessa päällä. Kussakin tapauksessa kokeilimme tätä, yhteyttä ei tallennettu koti-IP-osoitteestamme. Sen sijaan alkuperäiset IMAP/SMTP-yhteydet tulivat 52.x.x.x IP-osoitteesta. Nopea WHOIS-haku osoittaa, että tämä IP-osoite on rekisteröity Microsoftille. Tämä osoittaisi, että Outlookin "asiakas" ei ole mitään sen tyyppistä, vaan se toimii täysin Microsoftin pilvipalvelujen kääreenä ja että paikallinen asiakkaamme ei ole koskaan kirjautunut sisään.
Outlookin "asiakas" ei ole mitään sen tyyppistä, vaan se toimii täysin Microsoftin pilvipalvelujen kääreenä.
Tässä on käyttäjälle selvä ongelma. Yksinkertaisesti kirjautumalla sisään uuteen Outlook-asiakasohjelmaan käyttäjä on tehokkaasti tarjonnut Microsoft Cloudille kattavan ja rajoittamattoman pääsyn koko sähköpostitiliinsä. Microsoftin ainoa maininta tietosuojasta linkitetyllä tukisivulla on joukko linkkejä sen tietosuojaselosteeseen ja palvelusopimukset, jotka molemmat mahdollistavat kattavan pääsyn tietoihisi Microsoft-tuotteiden ja -tuotteiden parantamiseksi palvelut. Useimmat sähköpostipalveluntarjoajat tarjoavat ainakin OAuth2-todennuksen yhteydessä jonkinlaisen tietosuojayhteenvedon (samanlainen kuin alla oleva Googlen esimerkki). Kun käyttäjä todennetaan IMAP-protokollalla, käyttäjälle annetaan tavallisesti vielä vähemmän varoitusta, sillä useimmat sähköpostipalveluntarjoajat olettavat, että sähköpostin "asiakkaat" toimivat ainakin asiakkaina, eivät yhdyskäytävinä pilveen. On myös tärkeää huomata, että ei ole selvää tapaa kieltäytyä pilviintegraatiosta kirjautuessasi mille tahansa sähköpostitilille tai käyttämällä asiakasta tilassa, jossa jotkin tekoälyominaisuudet on poistettu käytöstä.
Sähköpostin asiakastoimintojen purkaminen pilveen poistaa myös tietoturvainsinöörien tai tutkijoiden mahdollisuuden tarkastaa helposti, mitä asiakas tekee. On mahdollista seurata Microsoftilta tietoihisi tehtyjä pyyntöjä (vaikkakin hankalaa, koska käyttäjän on suoritettava oma sähköpostinsa palvelin, jolla on pääsy lokeihinsa), mutta tämä ei anna mitään viitteitä siitä, kuinka paljon lisäkäsittelyä mahdollisesti tarvitaan paikka. On myös tärkeää muistaa, että tämä pääsy on jatkuvaa. Ei ole enää mahdollista estää Microsoftin pääsyä sähköpostiisi yksinkertaisesti sulkemalla Outlook. Käyttäjät voivat kirjautua sisään Outlookiin työpöydällään testatakseen sitä, päättää, etteivät pidä siitä, ja yksinkertaisesti lopettaa sen käytön kirjautumatta ulos. Microsoft säilyttää jatkuvan pääsyn heidän tietoihinsa, kunnes käyttäjä kirjautuu ulos (tai peruuttaa istunnon muualla).
Datalle vaarallisia ennakkotapauksia
Tietojen kerääminen paikallisille asiakkaille voi olla liian pitkälle
Tiedonkeruu on viime kädessä jotain, johon olemme kaikki tottuneet, halusimme siitä tai emme. Kuitenkin läpinäkyvän julkistamisen puute Microsoftilta ja työpöytäsovellusten varmuuskopiointi käyttäjien tietojen saattamiseksi pilveen ovat huolestuttavia. Microsoftin hienovaraisesti hyväksytyt lisenssisopimukset mahdollistavat lähes rajattoman tiedonkeruun uusien Microsoft-työkalujen parantaminen tai luominen, mukaan lukien sähköpostitietojen käyttäminen generatiivisen tekoälyn kouluttamiseen tai muita työkaluja.
Missään vaiheessa ei ole tehty selväksi, että Outlook-työpöytäsovellus toimii vain kääreenä pilvipalveluista tai mitkä rajoitukset ja olosuhteet ovat, joissa Microsoft käyttää tietojasi pilvi. Ottaen huomioon Microsoftin pyrkimykset uusiin pilvipohjaisiin tekoälyintegraatioihin ja varmuuden puute Muussa tapauksessa on kohtuullista olettaa, että Microsoft käyttää tällaisia tietoja koulutukseen tai testaukseen tarkoituksiin.
Microsoftin läpinäkyvän julkistamisen puute ja työpöytäsovellusten käyttö käyttäjien tietojen saattamiseksi pilveen ovat huolestuttavia.
Tämä voi olla vakava ongelma myös yrityksille. Yritysten loppukäyttäjä voi tahattomasti tarjota Microsoftille pääsyn suuriin määriin liiketoiminta- tai kaupallisesti arkaluontoisia tietoja, mikä mahdollisesti rikkoo säädös- tai turvallisuusvaatimuksia. Jos tätä dataa käytettiin sitten generatiivisten tekoälyjen tai muiden julkisesti julkaistujen koneoppimismallien kouluttamiseen, on mahdollista, että jotkin datan osa-alueet voivat tulla kenen tahansa ulottuville. Tämä on äärimmäinen skenaario, mutta on selvää, missä huolenaiheet voivat olla.
Oletpa sitten tehokäyttäjä liiketoiminnassa, verkkoa valvova järjestelmänvalvoja tai loppukäyttäjä Kun etsit uutta sähköpostiohjelmaa, on tärkeää tietää sisäänkirjautumisen yksityisyyteen liittyvät vaikutukset Näkymät. Vaikka Microsoft ilmoittaa synkronoivansa tiedot pilveen, se vaatii paljon enemmän vapaudet, joita käyttäjä kohtuudella odottaa käyttöoikeuden laajuuden ja asiakkaan roolin perusteella kaikki.