Il nuovo client Outlook di Microsoft sposta silenziosamente la tua posta elettronica nel cloud

Microsoft ha recentemente introdotto a nuova versione di Outlook SU PC Windows. È stato progettato per sostituire il vecchio Windows Mail e il classico Outlook, quindi introduce una novità design e integrazioni cloud significativamente più strette combinando e-mail e calendario in uno solo app. Introduce inoltre nuove funzionalità di intelligenza artificiale generativa, inclusi assistenti alla scrittura e "altre funzionalità di intelligenza artificiale avanzate".

Tuttavia, l’app introduce anche alcuni seri problemi di privacy. Basato su una ricerca del blog tedesco heise.de, che siamo stati in grado di riprodurre su XDA, sembra che la nuova app Outlook sia molto più stretta integrato con il cloud di quanto un utente potrebbe aspettarsi, aprendo la portata dei potenziali dati Microsoft collezione. Ciò rappresenta un problema di privacy significativo, quindi ci sono molte domande a cui Microsoft deve rispondere sulle aspettative degli utenti.

Cosa puoi aspettarti dal nuovo Outlook

L'e-mail è ancora e-mail, giusto?

La nuova versione di Outlook è disponibile dall'inizio di settembre e introduce una serie di nuove funzionalità. L'app include già nuove funzionalità dell'intelligenza artificiale di Copilote Microsoft ha dichiarato che intende sostituire l'attuale app Outlook con la nuova versione di Outlook entro due anni. La società ha anche annunciato un elenco più ampio di funzionalità imminenti, che sarà probabilmente annunciato nei prossimi mesi (in particolare per quanto riguarda le capacità di intelligenza artificiale). La nuova app ha anche una nuova interfaccia utente, che la rende più in linea con le versioni cloud di Microsoft delle app per ufficio, oltre a una più stretta integrazione con altri servizi di Office come Calendario e Word.

La nuova versione di Outlook è ora disponibile su Microsoft Store come Outlook per Windows. Una volta installata, l'app verrà visualizzata nel menu Start come Outlook (nuovo).

Il nuovo Outlook presenta un comportamento problematico

Potresti non renderti conto di cosa ti stai iscrivendo

Quando si apre il nuovo client Outlook per la prima volta, all'utente viene chiesto di accedere in modo molto simile a qualsiasi altro client di posta elettronica. Se inserisci un indirizzo email con un provider comune, come Gmail o iCloud, il client utilizzerà un flusso di lavoro Oauth2 per autenticarsi con il tuo browser. Se inserisci un dominio di terze parti, ti verrà richiesta una password IMAP (se supportata). Tutto questo è molto normale per un client di posta elettronica.

Tuttavia, una volta autenticato, ti viene presentata una finestra innocua che ti informa su cosa utilizzare la nuova versione di Outlook, Microsoft dovrà sincronizzare e-mail, eventi e contatti con Microsoft Nuvola. È disponibile un'opzione di annullamento, ma non è possibile rifiutare e continuare a utilizzare il client. UN collegamento di supporto vengono fornite alcune informazioni aggiuntive, che spiegano che l'accesso abilita funzionalità come la posta ricerca, una casella di posta mirata o riunioni ricorrenti, ma non fornisce alcuna dichiarazione chiara sui limiti di questi dati collezione.

Da questo avviso, un utente potrebbe ragionevolmente presumere che il client di posta elettronica a cui sta accedendo lo farà continuare a fungere da client di posta elettronica e che il client potrebbe inviare alcuni dati limitati per l'elaborazione nel file nuvola. Tuttavia, non è così. Invece dell'autenticazione del tuo client di posta elettronica, le tue credenziali vengono passate al cloud Microsoft, che esegue l'autenticazione per tuo conto. Da questo momento, tutta l'elaborazione (incluso il recupero delle tue email) viene gestita nel cloud. Non siamo riusciti a osservare alcun traffico che viaggia direttamente dal client al nostro provider di posta elettronica.

Ciò vale sia per i flussi di lavoro OAuth che per IMAP, ma è più visibile quando si esegue l'autenticazione con un server IMAP di terze parti. In questo caso, il client Outlook prende le credenziali IMAP fornite dal tuo provider di posta elettronica per accedere all'applicazione e le trasferisce direttamente sul cloud di Microsoft su TLS. Potremmo riprodurlo impostando un proxy man-in-the-middle trasparente tra Internet e il client Outlook per intercettare il traffico crittografato. Nello screenshot seguente, la password dell'app generata da un provider di posta elettronica di terze parti viene condivisa e archiviata direttamente con i server Microsoft. La risposta a questa richiesta è un token di accesso e aggiornamento utilizzato per mantenere una sessione autenticata persistente con i server Microsoft.

È un client di posta elettronica o no?

Outlook (nuovo) fa meno a livello locale di quanto potresti pensare

Il provider di posta elettronica che utilizziamo per questo esempio registra l'indirizzo IP e l'ora di accesso di ogni nuovo accesso. Se il client Outlook comunicava direttamente con il nostro server di posta (ovvero si comportava come dovrebbe fare un client), quindi l'indirizzo IP registrato dal provider di posta elettronica dovrebbe essere lo stesso del computer su cui è in esecuzione Outlook SU. In ogni caso in cui abbiamo provato questa soluzione, non è stata registrata alcuna connessione dal nostro indirizzo IP di casa. Invece, le connessioni IMAP/SMTP iniziali provenivano da un indirizzo IP 52.x.x.x. Una rapida ricerca WHOIS mostra che questo indirizzo IP è registrato con Microsoft. Ciò dimostrerebbe che il "client" di Outlook non è niente del genere, poiché agisce interamente come un wrapper attorno ai servizi cloud di Microsoft e che il nostro client locale non ha mai effettivamente effettuato l'accesso.

Il "client" di Outlook non è niente del genere, poiché funge interamente da involucro attorno ai servizi cloud di Microsoft.

C'è un chiaro problema per l'utente qui. Accedendo semplicemente al nuovo client Outlook, un utente ha effettivamente fornito a Microsoft Cloud un accesso completo e illimitato all'intero account di posta elettronica. L'unico riferimento alla privacy da parte di Microsoft nella pagina di supporto collegata è un insieme di collegamenti alla sua informativa sulla privacy e contratti di servizio, che consentono entrambi l'accesso globale ai dati per migliorare i prodotti Microsoft e Servizi. Almeno quando si autentica con OAuth2, la maggior parte dei provider di posta elettronica offre una sorta di riepilogo della privacy (simile all'esempio di Google riportato di seguito). Quando si autentica con IMAP, all'utente vengono normalmente forniti ancora meno avvertimenti, poiché la maggior parte dei provider di posta elettronica presuppone che i "client" di posta elettronica agiscano almeno come client, non come gateway per il cloud. È anche importante notare che non esiste un modo ovvio per rifiutare questa integrazione cloud quando si accede a qualsiasi account di posta elettronica o si utilizza il client in una modalità con alcune funzionalità AI disabilitate.

Lo scaricamento delle funzionalità client della posta elettronica nel cloud elimina inoltre la possibilità per gli ingegneri o i ricercatori della sicurezza di verificare facilmente ciò che sta facendo il client. È possibile tenere traccia delle richieste effettuate sui tuoi dati da Microsoft (anche se complicato, poiché un utente dovrebbe eseguire la propria posta elettronica server con accesso ai suoi log), ma ciò non consente alcuna indicazione su quanta elaborazione aggiuntiva, se presente, sta richiedendo posto. È anche importante ricordare che questo accesso è continuo. Non è più possibile impedire l'accesso di Microsoft alle tue email semplicemente chiudendo Outlook. Gli utenti possono accedere a Outlook sul proprio desktop per testarlo, decidere che non gli piace e semplicemente smettere di usarlo senza disconnettersi. Fino a quando l'utente non si disconnette (o revoca la sessione altrove), Microsoft manterrà l'accesso continuo ai propri dati.

Precedenti pericolosi per i dati

La raccolta dati presso i clienti locali potrebbe essere un passo eccessivo

La raccolta dei dati è, in definitiva, qualcosa a cui siamo tutti abituati, che ci piaccia o no. Tuttavia, la mancanza di una divulgazione trasparente da parte di Microsoft e il trasporto sulle spalle delle app desktop per trasferire i dati degli utenti nel cloud sono preoccupanti. Gli accordi di licenza subdolamente accettati da Microsoft consentono una raccolta di dati quasi illimitata per miglioramento o creazione di nuovi strumenti Microsoft, incluso l'utilizzo dei dati di posta elettronica per addestrare l'intelligenza artificiale generativa o altri strumenti.

Non è stato chiarito in nessun momento che l'app desktop Outlook fungerà esclusivamente da wrapper servizi cloud o quali sono i limiti e le circostanze in cui Microsoft accederà ai tuoi dati in nuvola. Data la portata della spinta di Microsoft verso nuove integrazioni AI basate su cloud e la mancanza di garanzie in caso contrario, è ragionevole presupporre che Microsoft possa utilizzare questo tipo di dati per attività di formazione o test scopi.

La mancanza di informativa trasparente da parte di Microsoft e il fatto che le app desktop vengano utilizzate per trasferire i dati degli utenti nel cloud sono preoccupanti.

Questo potrebbe rappresentare un problema serio anche per le imprese. Un utente finale aziendale potrebbe involontariamente fornire a Microsoft l'accesso a grandi volumi di dati aziendali o commercialmente sensibili, possibilmente in violazione dei requisiti normativi o di sicurezza. Se questi dati venissero poi utilizzati per addestrare IA generative o altri modelli di apprendimento automatico rilasciati pubblicamente, è possibile che alcuni aspetti di tali dati possano essere resi accessibili a chiunque. Si tratta di uno scenario estremo, ma è chiaro dove potrebbero risiedere le preoccupazioni.

Che tu sia un utente esperto nel mondo degli affari, un amministratore di sistema che supervisiona una rete o un utente finale alla ricerca di un nuovo client di posta elettronica, è importante conoscere le implicazioni sulla privacy derivanti dall'accesso con Veduta. Microsoft, pur offrendo l'informazione che sincronizzerà i dati nel cloud, si sta impegnando molto di più libertà di quelle che un utente si aspetterebbe ragionevolmente data l'entità del suo accesso e il ruolo del cliente Tutto.