A Microsoft új Outlook-kliense csendesen áthelyezi az e-maileket a felhőbe

A Microsoft nemrégiben bemutatta a az Outlook új verziója tovább Windows PC-k. Úgy tervezték, hogy leváltsa az elöregedett Windows Mail és a klasszikus Outlook, így egy sima újdonságot mutat be tervezés és lényegesen szorosabb felhőintegráció, miközben egyben egyesíti az e-maileket és a naptárat kb. Új generatív AI-szolgáltatásokat is bevezet, beleértve az írássegédeket és „egyéb fejlett AI-szolgáltatásokat”.

Az alkalmazás azonban komoly adatvédelmi aggályokat is felvet. A német blog kutatása alapján heise.de, amelyet az XDA-nál sikerült reprodukálni, úgy tűnik, hogy az új Outlook alkalmazás sokkal szorosabb integrált a felhőbe, mint ahogy azt a felhasználó elvárná, és megnyílik a potenciális Microsoft-adatok köre Gyűjtemény. Ez jelentős adatvédelmi problémát jelent, ezért a Microsoftnak sok kérdésre kell válaszolnia a felhasználói elvárásokkal kapcsolatban.

Mit várhat az új Outlooktól

Az e-mail továbbra is e-mail, igaz?

Az Outlook új verziója szeptember eleje óta érhető el, és számos új funkciót vezet be. Az alkalmazás már tartalmazza új Copilot AI funkciók, és a Microsoft kijelentette, hogy az Outlook új verziója két éven belül le fogja váltani a meglévő Outlook alkalmazást. A cég egy szélesebb listát is bejelentett közelgő funkciók, amelyet valószínűleg a következő hónapokban fognak bejelenteni (különösen az AI-képességek kapcsán). Az új alkalmazás új felhasználói felülettel is rendelkezik, így jobban illeszkedik a Microsoft irodai alkalmazások felhőverzióihoz, valamint szorosabb integrációt biztosít más Office-szolgáltatásokkal, például a Naptárral és a Word-del.

Az Outlook új verziója már elérhető a Microsoft Store-ban Outlook for Windows néven. A telepítés után az alkalmazás a Start menüben Outlook néven (új).

Az új Outlook problémás viselkedést mutat

Lehet, hogy nem veszi észre, mire jelentkezik

Az új Outlook kliens első megnyitásakor a felhasználót ugyanúgy felkérik, hogy jelentkezzen be, mint bármely más levelezőprogram esetében. Ha egy közös szolgáltatónál (például Gmail vagy iCloud) megadott e-mail címet ad meg, az ügyfél egy Oauth2 munkafolyamatot használ a böngészővel való hitelesítéshez. Ha harmadik féltől származó tartományt ad meg, a rendszer IMAP-jelszót kér (ha támogatott). Ez teljesen normális egy e-mail kliensnél.

A hitelesítés után azonban megjelenik egy ártalmatlan ablak, amely tájékoztatja Önt a használatáról Az Outlook új verziójában a Microsoftnak szinkronizálnia kell e-mailjeit, eseményeit és névjegyeit a Microsofttal Felhő. Lemondási lehetőség áll rendelkezésre, de nincs lehetőség az ügyfél visszautasítására és használatának folytatására. A támogatási link további információval látja el, amely elmagyarázza, hogy a hozzáférés olyan funkciókat tesz lehetővé, mint például a levelezés keresés, fókuszált beérkező levelek vagy ismétlődő értekezletek, de nem nyilatkozik egyértelműen ezen adatok korlátairól Gyűjtemény.

Ebből a figyelmeztetésből a felhasználó ésszerűen feltételezheti, hogy az e-mail kliens, amelybe bejelentkezik, ezt fogja tenni továbbra is e-mail kliensként működjön, és az ügyfél korlátozott mennyiségű adatot küldhet feldolgozásra felhő. Ez azonban nem így van. Ahelyett, hogy az e-mail kliens hitelesítene, a hitelesítési adatai a Microsoft felhőhöz kerülnek, amely az Ön nevében hitelesít. Ettől kezdve minden feldolgozás (beleértve az e-mailek lekérését is) a felhőben történik. Nem észleltünk forgalmat közvetlenül az ügyféltől az e-mail szolgáltatónk felé.

Ez mind az OAuth-, mind az IMAP-munkafolyamatokra igaz, de leginkább egy harmadik fél IMAP-szerverével történő hitelesítéskor látható. Ebben az esetben az Outlook-ügyfél az e-mail-szolgáltatótól kapott IMAP-hitelesítési adatokat veszi igénybe az alkalmazás eléréséhez, és közvetlenül a Microsoft felhőjébe továbbítja a TLS-en keresztül. Ezt reprodukálhatnánk úgy, hogy egy átlátható man-in-the-middle proxyt állítunk be az internet és az Outlook-kliens között a titkosított forgalom elfogására. Az alábbi képernyőképen a harmadik féltől származó e-mail-szolgáltató által generált alkalmazásjelszó meg van osztva és közvetlenül a Microsoft szervereivel tárolva. A kérésre adott válasz egy hozzáférési és frissítési jogkivonat, amely a Microsoft kiszolgálóival való állandó hitelesített munkamenet fenntartására szolgál.

Ez e-mail kliens vagy sem?

Az Outlook (új) kevésbé működik helyi szinten, mint gondolná

A példához használt e-mail szolgáltató minden új bejelentkezés IP-címét és hozzáférési idejét rögzíti. Ha az Outlook-kliens közvetlenül kommunikált a levelezőszerverünkkel (vagyis úgy viselkedett, ahogy egy ügyfélnek kell), akkor az e-mail szolgáltató által rögzített IP-címnek meg kell egyeznie az Outlookot futtató számítógépével tovább. Minden esetben ezt próbáltuk, az otthoni IP-címünkről nem rögzítették a kapcsolatot. Ehelyett a kezdeti IMAP/SMTP kapcsolatok 52.x.x.x IP-címről érkeztek. Egy gyors WHOIS keresés azt mutatja, hogy ez az IP-cím regisztrálva van a Microsoftnál. Ez azt bizonyítaná, hogy az Outlook „kliens” nem olyan, mint a Microsoft felhőszolgáltatásai, és hogy helyi kliensünk még soha nem jelentkezett be.

Az Outlook "kliens" nem ilyen, teljes egészében a Microsoft felhőszolgáltatásainak burkolójaként működik.

Itt egyértelmű probléma van a felhasználó számára. Egyszerűen bejelentkezve az új Outlook kliensbe, a felhasználó ténylegesen átfogó és korlátlan hozzáférést biztosít a Microsoft Cloud számára a teljes e-mail fiókjához. A Microsoft egyetlen említése az adatvédelemről a hivatkozott támogatási oldalon az adatvédelmi nyilatkozatára mutató hivatkozások halmaza és szolgáltatási szerződések, amelyek mindegyike átfogó hozzáférést tesz lehetővé az Ön adataihoz a Microsoft-termékek és a szolgáltatások. Legalábbis az OAuth2-vel történő hitelesítés során a legtöbb e-mail-szolgáltató kínál valamilyen adatvédelmi összefoglalót (hasonlóan a Google alábbi példájához). Az IMAP-alapú hitelesítés során a felhasználó általában még kevesebb figyelmeztetést kap, mivel a legtöbb e-mail szolgáltató azt feltételezi, hogy az e-mail "kliensek" legalább kliensként működnek, nem pedig átjáróként a felhőhöz. Fontos megjegyezni azt is, hogy nincs nyilvánvaló módja annak, hogy elutasítsa ezt a felhőintegrációt, amikor bejelentkezik bármely e-mail fiókba, vagy olyan módban használja a klienst, amelyben bizonyos mesterséges intelligencia-szolgáltatások le vannak tiltva.

Az e-mail kliens funkcióinak a felhőbe való feltöltése azt is megszünteti a biztonsági mérnökök vagy kutatók számára, hogy könnyen ellenőrizzék, mit csinál az ügyfél. Nyomon követhető a Microsofttól az adataira vonatkozó kérések (bár bonyolult, mivel a felhasználónak saját e-mailt kell futtatnia szerver hozzáféréssel a naplóihoz), de ez nem teszi lehetővé annak jelzését, hogy mennyi további feldolgozásra van szükség, ha van ilyen. hely. Azt is fontos megjegyezni, hogy ez a hozzáférés folyamatban van. Már nem lehet leállítani a Microsoft hozzáférését az Ön e-mailjeihez egyszerűen az Outlook bezárásával. A felhasználók bejelentkezhetnek az Outlookba az asztali számítógépükön, hogy kipróbálhassák, úgy döntsenek, hogy nem tetszik nekik, és kijelentkezés nélkül egyszerűen abbahagyják a használatát. Amíg a felhasználó ki nem jelentkezik (vagy máshol vissza nem vonja a munkamenetet), a Microsoft továbbra is hozzáfér az adataihoz.

Veszélyes precedensek az adatok számára

Lehet, hogy az adatgyűjtés helyi ügyfelekkel történő beszúrása túl messzire megy

Az adatgyűjtés végső soron mindannyian megszokott dolog, akár tetszik, akár nem. Ugyanakkor aggasztó, hogy a Microsoft nem tesz átlátható tájékoztatást, és hogy az asztali alkalmazásokat a felhasználók adatai a felhőbe juttatják. A Microsoft finoman elfogadott licencszerződései szinte korlátlan adatgyűjtést tesznek lehetővé a fejlesztése vagy új Microsoft-eszközök létrehozása, beleértve az e-mail adatok felhasználását generatív mesterséges intelligencia képzésére vagy egyéb eszközök.

Egyetlen ponton sem világos, hogy az Outlook asztali alkalmazás kizárólag a környezet körül fog működni felhőszolgáltatások, illetve milyen korlátok és körülmények között fér hozzá a Microsoft az Ön adataihoz felhő. Tekintettel a Microsoft új felhőalapú mesterséges intelligencia-integrációira való törekvésére és a biztosíték hiányára egyébként ésszerűen feltételezhető, hogy a Microsoft az ilyen típusú adatokat képzésre vagy tesztelésre használja fel célokra.

Aggasztó, hogy a Microsoft nem tesz átlátható tájékoztatást, és hogy az asztali alkalmazásokat a felhasználók adatai a felhőbe juttatják.

Ez a vállalkozások számára is komoly problémát jelenthet. Egy vállalati végfelhasználó akaratlanul is hozzáférést biztosíthat a Microsoftnak nagy mennyiségű üzleti vagy üzleti szempontból érzékeny adathoz, esetleg a szabályozási vagy biztonsági követelmények megsértésével. Ha ezeket az adatokat azután generatív AI-k vagy más, nyilvánosan közzétett gépi tanulási modellek betanításához használták fel, akkor lehetséges, hogy az adatok egyes aspektusai bárki számára hozzáférhetővé válnak. Ez egy szélsőséges forgatókönyv, de egyértelmű, hogy hol lehetnek aggályok.

Legyen szó nagy felhasználóról az üzleti életben, hálózatot felügyelő rendszergazdáról vagy végfelhasználóról Ha új e-mail klienst keres, fontos ismernie a bejelentkezés adatvédelmi vonatkozásait Outlook. A Microsoft, bár feljelenti, hogy szinkronizálja az adatokat a felhővel, sokkal többet vállal olyan szabadságjogokat, mint amennyit a felhasználó ésszerűen elvárhatna hozzáférésének mértékétől és az ügyfél szerepétől minden.