Microsoftov novi Outlook klijent tiho premješta vašu e-poštu u oblak

Microsoft je nedavno predstavio a nova verzija programa Outlook na Windows računala. Osmišljen je kako bi zamijenio zastarjeli Windows Mail i klasični Outlook, tako da predstavlja elegantno novo dizajn i znatno čvršću integraciju u oblak dok kombinirate svoju e-poštu i kalendar u jedno aplikacija Također predstavlja nove generativne AI značajke, uključujući pomoć pri pisanju i "druge napredne AI značajke."

Međutim, aplikacija također predstavlja neke ozbiljne probleme u vezi s privatnošću. Na temelju istraživanja s njemačkog bloga heise.de, koju smo uspjeli reproducirati na XDA, čini se da je nova aplikacija Outlook daleko čvršća integriran s oblakom nego što bi korisnik mogao očekivati, otvarajući opseg potencijalnih Microsoftovih podataka kolekcija. Ovo predstavlja značajno pitanje privatnosti, tako da postoji mnogo pitanja na koja Microsoft treba odgovoriti o očekivanjima korisnika.

Što možete očekivati ​​od novog Outlooka

E-pošta je i dalje e-pošta, zar ne?

Nova verzija Outlooka dostupna je od početka rujna i uvodi niz novih značajki. Aplikacija već uključuje nove Copilot AI značajke, a Microsoft je izjavio kako namjerava da nova verzija Outlooka zamijeni postojeću Outlook aplikaciju u roku od dvije godine. Tvrtka je također objavila širi popis nadolazeće značajke, koji će vjerojatno biti najavljen u nadolazećim mjesecima (osobito u vezi s AI mogućnostima). Nova aplikacija također ima novo korisničko sučelje, što ga više usklađuje s Microsoftovim verzijama uredskih aplikacija u oblaku, kao i čvršću integraciju s drugim uslugama sustava Office kao što su Kalendar i Word.

Nova verzija Outlooka sada je dostupna u Microsoft Storeu kao Outlook za Windows. Nakon instaliranja, aplikacija u izborniku Start kao Outlook (novo).

Novi Outlook ima problematično ponašanje

Možda ne shvaćate za što se prijavljujete

Prilikom prvog otvaranja novog Outlook klijenta, od korisnika se traži da se prijavi poput bilo kojeg drugog klijenta e-pošte. Ako unesete adresu e-pošte kod uobičajenog pružatelja usluge, kao što je Gmail ili iCloud, klijent će koristiti tijek rada Oauth2 za autentifikaciju u vašem pregledniku. Ako unesete domenu treće strane, od vas će se tražiti IMAP lozinka (ako je podržana). Sve je to vrlo normalno za klijenta e-pošte.

Međutim, nakon provjere autentičnosti, prikazuje vam se bezopasni prozor koji vas obavještava da trebate koristiti novu verziju Outlooka, Microsoft će morati sinkronizirati vašu e-poštu, događaje i kontakte s Microsoftom Oblak. Dostupna je opcija otkazivanja, ali ne postoji mogućnost odbijanja i nastavka korištenja vašeg klijenta. A veza za podršku pruža još neke informacije, koje objašnjavaju da pristup omogućuje značajke kao što je pošta pretraživanje, fokusirani inbox ili ponavljajuće sastanke, ali ne daje jasnu izjavu o ograničenjima ovih podataka kolekcija.

Iz ovog upozorenja korisnik bi mogao razumno pretpostaviti da će to učiniti klijent e-pošte na koji se prijavljuje nastaviti djelovati kao klijent e-pošte i da bi klijent mogao poslati neke ograničene podatke na obradu u oblak. Međutim, to nije slučaj. Umjesto provjere autentičnosti vašeg klijenta e-pošte, vaše se vjerodajnice prosljeđuju Microsoftovom oblaku koji vrši autentifikaciju u vaše ime. Od ove točke, sva obrada (uključujući dohvaćanje vaše e-pošte) obavlja se u oblaku. Nismo mogli uočiti nikakav promet koji putuje izravno od klijenta do našeg pružatelja usluga e-pošte.

Ovo vrijedi i za OAuth i za IMAP tijekove rada, ali je najvidljivije pri autentifikaciji s IMAP poslužiteljem treće strane. U ovom slučaju, Outlook klijent uzima IMAP vjerodajnice koje ste dobili od vašeg davatelja usluga e-pošte za pristup aplikaciji i prenosi ih izravno u Microsoftov oblak preko TLS-a. To bismo mogli reproducirati postavljanjem transparentnog proxyja tipa "čovjek u sredini" između interneta i Outlook klijenta za presretanje šifriranog prometa. Na snimci zaslona u nastavku, naša lozinka za aplikaciju koju je generirao davatelj e-pošte treće strane dijeli se i pohranjuje izravno s Microsoftovim poslužiteljima. Odgovor na ovaj zahtjev je token za pristup i osvježavanje koji se koristi za održavanje trajne autentificirane sesije s Microsoftovim poslužiteljima.

Je li to klijent e-pošte ili ne?

Outlook (novi) radi manje lokalno nego što mislite

Davatelj usluge e-pošte kojeg koristimo za ovaj primjer bilježi IP adresu i vrijeme pristupa svake nove prijave. Ako je Outlook klijent izravno komunicirao s našim poslužiteljem e-pošte (tj. ponašao se kao što bi klijent trebao), onda bi IP adresa koju bilježi pružatelj usluga e-pošte trebala biti ista kao i računalo na kojem pokrećemo Outlook na. U svakom slučaju kada smo ovo pokušali, veza nije zabilježena s naše kućne IP adrese. Umjesto toga, početne IMAP/SMTP veze dolazile su s 52.x.x.x IP adrese. Brzi WHOIS pregled pokazuje da je ova IP adresa registrirana kod Microsofta. To bi pokazalo da Outlook "klijent" nije ništa od toga, da u potpunosti djeluje kao omot oko Microsoftovih usluga u oblaku i da se naš lokalni klijent zapravo nikada nije uopće prijavio.

Outlook "klijent" nije ništa slično, u potpunosti djeluje kao omot oko Microsoftovih usluga u oblaku.

Ovdje postoji jasan problem za korisnika. Jednostavnim prijavljivanjem na novi Outlook klijent, korisnik je Microsoftovom oblaku omogućio sveobuhvatan i neograničen pristup svom cijelom računu e-pošte. Jedino Microsoftovo spominjanje privatnosti na povezanoj stranici podrške je skup poveznica na njegovu izjavu o privatnosti i ugovore o uslugama, a oba dopuštaju općeniti pristup vašim podacima za poboljšanje Microsoftovih proizvoda i usluge. Barem pri autentifikaciji pomoću OAuth2, većina pružatelja usluga e-pošte nudi neku vrstu sažetka privatnosti (slično Googleovom primjeru u nastavku). Prilikom provjere autentičnosti s IMAP-om, korisnik obično dobiva još manje upozorenja, pri čemu većina pružatelja usluga e-pošte pretpostavlja da "klijenti" e-pošte barem djeluju kao klijenti, a ne pristupnici oblaku. Također je važno napomenuti da ne postoji očit način za odbijanje ove integracije u oblak kada se prijavljujete na bilo koji račun e-pošte ili koristite klijent u načinu rada s onemogućenim nekim značajkama umjetne inteligencije.

Prebacivanje klijentske funkcionalnosti e-pošte u oblak također uklanja mogućnost sigurnosnim inženjerima ili istraživačima da lako provjere što klijent radi. Moguće je pratiti zahtjeve za vaše podatke od Microsofta (iako je lukavo, jer bi korisnik trebao pokrenuti vlastitu e-poštu poslužitelj s pristupom svojim zapisima), ali to ne dopušta bilo kakvu naznaku o tome koliko dodatne obrade, ako je ima, traje mjesto. Također je važno upamtiti da je ovaj pristup u tijeku. Više nije moguće zaustaviti Microsoftov pristup vašoj e-pošti jednostavnim zatvaranjem programa Outlook. Korisnici se mogu prijaviti u Outlook na radnoj površini da ga testiraju, odluče da im se ne sviđa i jednostavno ga prestanu koristiti bez odjave. Dok se korisnik ne odjavi (ili opozove sesiju negdje drugdje), Microsoft će zadržati stalni pristup njegovim podacima.

Opasni presedani za podatke

Prikupljanje podataka o lokalnim klijentima može biti korak predaleko

Prikupljanje podataka je, u konačnici, nešto na što smo svi navikli, sviđalo se to nama ili ne. Međutim, zabrinjava nedostatak transparentnog otkrivanja podataka od strane Microsofta i korištenje stolnih aplikacija za prijenos podataka korisnika u oblak. Microsoftovi suptilno prihvaćeni ugovori o licenciranju dopuštaju gotovo neograničeno prikupljanje podataka za poboljšanje ili stvaranje novih Microsoftovih alata, uključujući korištenje vaših podataka e-pošte za obuku generativne umjetne inteligencije ili drugi alati.

Ni u jednom trenutku nije jasno da će aplikacija Outlook za stolna računala djelovati isključivo kao omotač usluge u oblaku ili koja su ograničenja i okolnosti pod kojima će Microsoft pristupiti vašim podacima u oblak. S obzirom na opseg Microsoftova nastojanja u novim integracijama umjetne inteligencije temeljenim na oblaku i nedostatak jamstva u suprotnom, razumno je pretpostaviti da Microsoft možda koristi ovu vrstu podataka za obuku ili testiranje svrhe.

Nedostatak transparentnog otkrivanja podataka od strane Microsofta i korištenje stolnih aplikacija za prijenos podataka korisnika u oblak su zabrinjavajući.

Ovo također može biti ozbiljan problem za poduzeća. Korporacijski krajnji korisnik mogao bi nesvjesno omogućiti Microsoftu pristup velikim količinama poslovnih ili komercijalno osjetljivih podataka, što je moguće u suprotnosti s regulatornim ili sigurnosnim zahtjevima. Ako su ti podaci zatim korišteni za obuku generativnih AI-jeva ili drugih modela strojnog učenja koji su javno objavljeni, moguće je da bi neki aspekti tih podataka mogli biti objavljeni kako bi im bilo tko pristupio. Ovo je ekstreman scenarij, ali jasno je gdje bi mogla biti zabrinutost.

Bilo da ste iskusan korisnik u poslu, administrator sustava koji nadzire mrežu ili krajnji korisnik u potrazi za novim klijentom e-pošte, važno je znati posljedice prijave na privatnost Outlook. Microsoft, iako nudi objavu da će sinkronizirati podatke u oblak, uzima mnogo više slobode nego što bi korisnik razumno očekivao s obzirom na opseg svog pristupa i ulogu klijenta svi.