Klien Outlook baru Microsoft secara diam-diam memindahkan email Anda ke cloud

Microsoft baru-baru ini memperkenalkan a versi baru Outlook pada PC Windows. Ini dirancang untuk menggantikan Windows Mail dan Outlook klasik yang sudah tua, sehingga memperkenalkan hal baru yang apik desain dan integrasi cloud yang jauh lebih erat sekaligus menggabungkan email dan kalender Anda menjadi satu aplikasi. Ia juga memperkenalkan fitur AI generatif baru, termasuk bantuan menulis dan “fitur AI canggih lainnya.”

Namun, aplikasi ini juga menimbulkan beberapa masalah privasi yang serius. Berdasarkan penelitian dari blog Jerman heise.de, yang dapat kami reproduksi di XDA, tampaknya aplikasi Outlook baru jauh lebih ketat terintegrasi dengan cloud lebih dari yang diperkirakan pengguna, sehingga membuka cakupan potensi data Microsoft koleksi. Ini mewakili masalah privasi yang signifikan, jadi ada banyak pertanyaan yang perlu dijawab Microsoft mengenai ekspektasi pengguna.

Apa yang dapat Anda harapkan dari Outlook baru

Email tetaplah email, bukan?

Versi baru Outlook telah tersedia sejak awal September dan memperkenalkan sejumlah fitur baru. Aplikasi ini sudah termasuk fitur Kopilot AI baru, dan Microsoft telah menyatakan bahwa mereka bermaksud untuk menggunakan versi baru Outlook untuk menggantikan aplikasi Outlook yang ada dalam waktu dua tahun. Perusahaan juga telah mengumumkan daftar yang lebih luas fitur yang akan datang, yang kemungkinan akan diumumkan dalam beberapa bulan mendatang (khususnya seputar kemampuan AI). Aplikasi baru ini juga memiliki UI yang lebih segar, menjadikannya lebih sesuai dengan aplikasi kantor versi cloud Microsoft, serta integrasi yang lebih erat dengan layanan Office lainnya seperti Kalender dan Word.

Versi baru Outlook sekarang tersedia di Microsoft Store sebagai Outlook untuk Windows. Setelah terinstal, aplikasi di menu mulai sebagai Outlook (baru).

Outlook baru memiliki perilaku bermasalah

Anda mungkin tidak menyadari untuk apa Anda mendaftar

Saat membuka klien Outlook baru untuk pertama kalinya, pengguna diminta untuk masuk seperti klien email lainnya. Jika Anda memasukkan alamat email dengan penyedia umum, seperti Gmail atau iCloud, klien akan menggunakan alur kerja Oauth2 untuk mengautentikasi dengan browser Anda. Jika Anda memasukkan domain pihak ketiga, Anda akan dimintai kata sandi IMAP (jika didukung). Ini semua sangat normal untuk klien email.

Namun, setelah Anda diautentikasi, Anda akan disajikan jendela tidak berbahaya yang memberi tahu Anda untuk menggunakannya versi baru Outlook, Microsoft perlu menyinkronkan email, acara, dan kontak Anda ke Microsoft Awan. Opsi pembatalan tersedia, namun tidak ada opsi untuk menolak dan terus menggunakan klien Anda. A tautan dukungan diberikan beberapa informasi lebih lanjut, yang menjelaskan bahwa akses tersebut mengaktifkan fitur-fitur seperti email penelusuran, kotak masuk terfokus, atau rapat berulang, namun tidak memberikan pernyataan yang jelas mengenai batasan data ini koleksi.

Dari peringatan ini, pengguna mungkin berasumsi bahwa klien email yang mereka masuki akan melakukan hal tersebut terus bertindak sebagai klien email dan klien tersebut mungkin mengirimkan beberapa data terbatas untuk diproses di awan. Namun, bukan itu masalahnya. Alih-alih mengautentikasi klien email Anda, kredensial Anda diteruskan ke cloud Microsoft, yang mengautentikasi atas nama Anda. Mulai saat ini, semua pemrosesan (termasuk pengambilan email Anda) ditangani di cloud. Kami tidak dapat mengamati lalu lintas apa pun yang berjalan langsung dari klien ke penyedia email kami.

Hal ini berlaku untuk alur kerja OAuth dan IMAP, namun paling terlihat saat mengautentikasi dengan server IMAP pihak ketiga. Dalam hal ini, klien Outlook mengambil kredensial IMAP yang disediakan oleh penyedia email Anda untuk mengakses aplikasi dan mentransfernya langsung ke cloud Microsoft melalui TLS. Kami dapat mereproduksi hal ini dengan menyiapkan proksi man-in-the-middle yang transparan antara internet dan Klien Outlook untuk mencegat lalu lintas terenkripsi. Pada tangkapan layar di bawah, kata sandi aplikasi kami yang dihasilkan dari penyedia email pihak ketiga dibagikan dan disimpan langsung ke server Microsoft. Respons terhadap permintaan ini adalah token akses dan penyegaran yang digunakan untuk mempertahankan sesi autentikasi yang persisten dengan server Microsoft.

Apakah ini klien email atau bukan?

Outlook (baru) bekerja lebih sedikit secara lokal daripada yang Anda kira

Penyedia email yang kami gunakan untuk contoh ini mencatat alamat IP dan waktu akses setiap login baru. Jika klien Outlook berkomunikasi langsung dengan server email kami (yaitu bertindak sebagaimana seharusnya klien), maka alamat IP yang dicatat penyedia email harus sama dengan komputer tempat kita menjalankan Outlook pada. Dalam setiap kasus yang kami coba, tidak ada koneksi yang tercatat dari alamat IP rumah kami. Sebaliknya, koneksi IMAP/SMTP awal berasal dari alamat IP 52.x.x.x. Pencarian WHOIS cepat menunjukkan bahwa alamat IP ini terdaftar di Microsoft. Hal ini akan menunjukkan bahwa "klien" Outlook bukanlah hal semacam itu, bertindak sepenuhnya sebagai pembungkus layanan cloud Microsoft dan bahwa klien lokal kami tidak pernah benar-benar masuk sama sekali.

"Klien" Outlook tidak seperti itu, bertindak sepenuhnya sebagai pembungkus layanan cloud Microsoft.

Jelas ada masalah bagi pengguna di sini. Hanya dengan masuk ke klien Outlook baru, pengguna telah secara efektif memberikan Microsoft Cloud akses menyeluruh dan tidak terbatas ke seluruh akun email mereka. Satu-satunya penyebutan privasi oleh Microsoft pada halaman dukungan tertaut adalah serangkaian tautan ke pernyataan privasinya dan perjanjian layanan, yang keduanya memungkinkan akses menyeluruh ke data Anda untuk meningkatkan produk Microsoft dan jasa. Setidaknya saat mengautentikasi dengan OAuth2, sebagian besar penyedia email menawarkan semacam ringkasan privasi (mirip dengan contoh dari Google di bawah). Saat mengautentikasi dengan IMAP, pengguna biasanya diberikan lebih sedikit peringatan, dengan sebagian besar penyedia email berasumsi bahwa "klien" email setidaknya bertindak sebagai klien, bukan gerbang ke cloud. Penting juga untuk dicatat bahwa tidak ada cara yang jelas untuk menolak integrasi cloud ini ketika masuk ke akun email apa pun atau menggunakan klien dalam mode dengan beberapa fitur AI dinonaktifkan.

Pembongkaran fungsionalitas klien dari email ke cloud juga menghilangkan kemampuan insinyur atau peneliti keamanan untuk dengan mudah memeriksa apa yang dilakukan klien. Dimungkinkan untuk melacak permintaan yang dibuat pada data Anda dari Microsoft (walaupun rumit, karena pengguna harus menjalankan email mereka sendiri server dengan akses ke lognya), tetapi hal ini tidak memberikan indikasi berapa banyak pemrosesan tambahan, jika ada, yang diperlukan tempat. Penting juga untuk diingat bahwa akses ini berkelanjutan. Tidak mungkin lagi menghentikan akses Microsoft ke email Anda hanya dengan menutup Outlook. Pengguna dapat masuk ke Outlook di desktop mereka untuk mengujinya, memutuskan bahwa mereka tidak menyukainya, dan berhenti menggunakannya tanpa keluar. Hingga pengguna keluar (atau mencabut sesi di tempat lain), Microsoft akan tetap mempertahankan akses berkelanjutan ke data mereka.

Preseden berbahaya bagi data

Menyerahkan pengumpulan data ke klien lokal mungkin merupakan langkah yang terlalu jauh

Pengumpulan data, pada akhirnya, adalah sesuatu yang biasa kita lakukan, suka atau tidak suka. Namun, kurangnya pengungkapan transparan dari Microsoft dan dukungan aplikasi desktop untuk memasukkan data pengguna ke cloud menimbulkan kekhawatiran. Perjanjian lisensi Microsoft yang diterima secara halus memungkinkan pengumpulan data yang hampir tidak terbatas untuk peningkatan atau pembuatan alat Microsoft baru, termasuk menggunakan data email Anda untuk melatih AI generatif atau alat lainnya.

Tidak dijelaskan sama sekali bahwa aplikasi desktop Outlook akan bertindak sebagai pembungkus secara eksklusif layanan cloud atau batasan dan kondisi apa yang memungkinkan Microsoft mengakses data Anda di awan. Mengingat besarnya upaya Microsoft untuk melakukan integrasi AI berbasis cloud dan kurangnya jaminan jika tidak, masuk akal untuk berasumsi bahwa Microsoft mungkin menggunakan data semacam ini untuk pelatihan atau pengujian tujuan.

Kurangnya pengungkapan transparan dari Microsoft dan dukungan aplikasi desktop untuk memasukkan data pengguna ke cloud merupakan hal yang memprihatinkan.

Hal ini mungkin juga menjadi masalah serius bagi dunia usaha. Pengguna akhir korporat tanpa disadari dapat memberikan Microsoft akses ke data sensitif bisnis atau komersial dalam jumlah besar, yang mungkin melanggar persyaratan peraturan atau keamanan. Jika data ini kemudian digunakan untuk melatih AI generatif atau model pembelajaran mesin lainnya yang dirilis secara publik, ada kemungkinan beberapa aspek dari data tersebut dapat ditampilkan untuk diakses oleh siapa saja. Ini adalah skenario ekstrem, namun sudah jelas apa yang menjadi kekhawatirannya.

Baik Anda pengguna ahli dalam bisnis, administrator sistem yang mengawasi jaringan, atau pengguna akhir Saat mencari klien email baru, penting untuk mengetahui implikasi privasi dari proses masuk Pandangan. Microsoft, meskipun menawarkan pengungkapan bahwa mereka akan menyinkronkan data ke cloud, mengambil tindakan yang jauh lebih besar kebebasan daripada yang diharapkan oleh pengguna dengan luasnya akses mereka dan peran klien semua.