לקוח Outlook החדש של מיקרוסופט מעביר בשקט את האימייל שלך לענן

הגרסה החדשה של Microsoft של Outlook מציגה כמה תכונות שנויות במחלוקת לשיתוף נתונים

קישורים מהירים

  • מה אתה יכול לצפות מ-Outlook החדש
  • ל-Outlook החדש יש התנהגות בעייתית
  • האם זה לקוח אימייל או לא?
  • תקדימים מסוכנים לנתונים

מיקרוסופט הציגה לאחרונה את א גרסה חדשה של Outlook עַל מחשבי Windows. הוא תוכנן להחליף את Windows Mail המזדקן ואת Outlook הקלאסי, כך שהוא מציג חדש חלקלק עיצוב ושילוב ענן מהודק יותר תוך שילוב הדוא"ל והיומן שלך לאחד אפליקציה. זה גם מציג תכונות חדשות בינה מלאכותית, כולל עזרי כתיבה ו"תכונות AI מתקדמות אחרות".

עם זאת, האפליקציה מציגה גם כמה חששות רציניים לפרטיות. מבוסס על מחקר מהבלוג הגרמני heise.de, שהצלחנו לשחזר ב-XDA, נראה שאפליקציית Outlook החדשה הרבה יותר צמודה משולב בענן ממה שמשתמש עשוי לצפות, ופותח את היקף הנתונים הפוטנציאליים של Microsoft אוסף. זה מייצג בעיית פרטיות משמעותית, ולכן יש הרבה שאלות שמיקרוסופט צריכה לענות על ציפיות המשתמשים.

מה אתה יכול לצפות מ-Outlook החדש

דוא"ל הוא עדיין דוא"ל, נכון?

הגרסה החדשה של Outlook זמינה מתחילת ספטמבר ומציגה מגוון תכונות חדשות. האפליקציה כבר כוללת

תכונות חדשות של Copilot AI, ומיקרוסופט הצהירה כי בכוונתה שהגרסה החדשה של Outlook תחליף את אפליקציית Outlook הקיימת בתוך שנתיים. החברה גם הכריזה על רשימה רחבה יותר של תכונות קרובות, שככל הנראה יוכרז בחודשים הקרובים (במיוחד סביב יכולות AI). לאפליקציה החדשה יש גם ממשק משתמש חדש, שמביא אותה יותר בקנה אחד עם גרסאות הענן של מיקרוסופט של אפליקציות משרדיות, כמו גם אינטגרציה הדוקה יותר עם שירותי Office אחרים כמו לוח שנה ו-Word.

הגרסה החדשה של Outlook זמינה כעת ב-Microsoft Store כ-Outlook עבור Windows. לאחר ההתקנה, האפליקציה בתפריט התחל כ-Outlook (חדש).

ל-Outlook החדש יש התנהגות בעייתית

אולי אתה לא מבין למה אתה נרשם

צילום מסך המציג את אזהרת הפרטיות מלקוח Gmail Desktop Desktop.

בעת פתיחת לקוח Outlook החדש בפעם הראשונה, המשתמש מתבקש להתחבר בדומה לכל לקוח דוא"ל אחר. אם תזין כתובת דוא"ל עם ספק נפוץ, כמו Gmail או iCloud, הלקוח ישתמש בזרימת עבודה של Oauth2 כדי לבצע אימות עם הדפדפן שלך. אם תזין דומיין של צד שלישי, תתבקש להזין סיסמת IMAP (אם נתמכת). כל זה מאוד נורמלי עבור לקוח דוא"ל.

עם זאת, ברגע שאתה מאומת, מוצג לך חלון תמים המודיע לך להשתמש בגרסה החדשה של Outlook, Microsoft תצטרך לסנכרן את הודעות הדוא"ל, האירועים ואנשי הקשר שלך עם Microsoft ענן. אפשרות ביטול זמינה, אך אין אפשרות לסרב ולהמשיך להשתמש בלקוח שלך. א קישור תמיכה מסופק עם מידע נוסף, המסביר שהגישה מאפשרת תכונות כגון דואר חיפוש, תיבת דואר נכנס ממוקדת, או פגישות חוזרות, אבל לא מצהיר בבירור על גבולות הנתונים האלה אוסף.

מקור: מיקרוסופט

מתוך אזהרה זו, משתמש עשוי להניח באופן סביר שלקוח הדוא"ל שאליו הוא נכנס להמשיך לפעול כלקוח דוא"ל וכי הלקוח עשוי לשלוח כמה נתונים מוגבלים לעיבוד ב- ענן. עם זאת, זה לא המקרה. במקום שלקוח הדוא"ל שלך יאמת, האישורים שלך מועברים לענן של מיקרוסופט, שמאמת בשמך. מנקודה זו, כל העיבוד (כולל שליפת המיילים שלך) מטופל בענן. לא יכולנו לראות שום תנועה שעוברת ישירות מהלקוח לספק הדוא"ל שלנו.

זה נכון גם לגבי זרימות עבודה של OAuth וגם של IMAP, אבל הוא גלוי ביותר בעת אימות עם שרת IMAP של צד שלישי. במקרה זה, לקוח Outlook לוקח את אישורי ה-IMAP שסופקו על ידי ספק הדוא"ל שלך כדי לגשת ליישום ומעביר אותם ישירות לענן של מיקרוסופט דרך TLS. נוכל לשחזר זאת על ידי הגדרת פרוקסי man-in-the-middle שקוף בין האינטרנט ללקוח Outlook כדי ליירט תעבורה מוצפנת. בצילום המסך למטה, סיסמת האפליקציה שלנו שנוצרה מספק דוא"ל של צד שלישי משותפת ומאוחסנת ישירות עם השרתים של מיקרוסופט. התגובה לבקשה זו היא אסימון גישה ורענון המשמש לשמירה על הפעלה מאומתת מתמשכת עם השרתים של Microsoft.

האם זה לקוח אימייל או לא?

Outlook (חדש) עושה פחות מקומי ממה שאתה עשוי לחשוב

ספק הדוא"ל שבו אנו משתמשים בדוגמה זו מתעד את כתובת ה-IP וזמן הגישה של כל התחברות חדשה. אם לקוח Outlook היה מתקשר ישירות עם שרת הדואר שלנו (כלומר התנהג כפי שלקוח צריך), אז כתובת ה-IP שספק הדואר האלקטרוני רושם צריכה להיות זהה למחשב שבו אנו מריצים את Outlook עַל. בכל מקרה שניסינו זאת, לא נרשם חיבור מכתובת ה-IP הביתית שלנו. במקום זאת, חיבורי ה-IMAP/SMTP הראשוניים הגיעו מכתובת IP 52.x.x.x. חיפוש WHOIS מהיר מראה שכתובת IP זו רשומה ב-Microsoft. זה מראה ש"לקוח" Outlook אינו דבר כזה, פועל כולו כמעטפת סביב שירותי הענן של מיקרוסופט וכי הלקוח המקומי שלנו מעולם לא התחבר כלל.

"הלקוח" של Outlook אינו דבר כזה, פועל כולו כמעטפת סביב שירותי הענן של מיקרוסופט.

יש כאן בעיה ברורה למשתמש. פשוט על ידי כניסה ללקוח Outlook החדש, משתמש סיפק למעשה ל-Microsoft Cloud גישה גורפת ובלתי מוגבלת לכל חשבון הדוא"ל שלו. האזכור היחיד של מיקרוסופט לפרטיות בדף התמיכה המקושר הוא קבוצה של קישורים להצהרת הפרטיות שלה ו הסכמי שירות, שניהם מאפשרים גישה גורפת לנתונים שלך לשיפור מוצרי Microsoft ו שירותים. לפחות בעת אימות עם OAuth2, רוב ספקי האימייל מציעים סיכום פרטיות כלשהו (בדומה לדוגמא מגוגל למטה). בעת אימות באמצעות IMAP, משתמש בדרך כלל מקבל אזהרה פחותה עוד יותר, כאשר רוב ספקי הדוא"ל מניחים ש"לקוחות" הדוא"ל פועלים לפחות כלקוחות, ולא כשערים לענן. חשוב גם לציין שאין דרך ברורה לדחות את שילוב הענן הזה בעת כניסה לחשבון דוא"ל כלשהו או שימוש בלקוח במצב שבו חלק מתכונות הבינה המלאכותית מושבתות.

ההורדה של פונקציונליות הלקוח של הדואר האלקטרוני לענן גם מסירה את היכולת של מהנדסי אבטחה או חוקרים לבדוק בקלות מה הלקוח עושה. זה אפשרי לעקוב אחר הבקשות שנשלחו על הנתונים שלך ממיקרוסופט (אם כי מסובך, מכיוון שמשתמש יצטרך להפעיל את האימייל שלו שרת עם גישה ליומנים שלו), אבל זה לא מאפשר שום אינדיקציה לגבי כמה עיבוד נוסף, אם בכלל, לוקח מקום. חשוב גם לזכור שהגישה הזו נמשכת. לא ניתן עוד לעצור את הגישה של מיקרוסופט לאימיילים שלך פשוט על ידי סגירת Outlook. משתמשים יכולים להיכנס ל-Outlook בשולחן העבודה שלהם כדי לבדוק אותו, להחליט שהם לא אוהבים אותו, ופשוט להפסיק להשתמש בו מבלי לצאת. עד שהמשתמש אכן ייצא (או יבטל את ההפעלה במקום אחר), Microsoft תשמור על גישה מתמשכת לנתונים שלהם.

תקדימים מסוכנים לנתונים

איסוף נתוני נעליים ללקוחות מקומיים עשוי להיות צעד רחוק מדי

איסוף נתונים הוא, בסופו של דבר, משהו שכולנו רגילים אליו, בין אם נרצה ובין אם לא. עם זאת, חוסר החשיפה השקופה כאן מצד מיקרוסופט והגיבוי של אפליקציות שולחן עבודה כדי להכניס את נתוני המשתמשים לענן מדאיגים. הסכמי הרישוי המקובלים בעדינות של מיקרוסופט מאפשרים איסוף נתונים כמעט בלתי מוגבל עבור שיפור או יצירה של כלים חדשים של מיקרוסופט, כולל שימוש בנתוני הדואר האלקטרוני שלך כדי להכשיר בינה מלאכותית או כלים אחרים.

לא הובהר בשום שלב שאפליקציית שולחן העבודה של Outlook תפעל כמעטפת באופן בלעדי שירותי ענן או מהן המגבלות והנסיבות שבהן מיקרוסופט תיגש לנתונים שלך ב- ענן. בהתחשב בהיקף הדחיפה של מיקרוסופט לשילובי AI חדשים מבוססי ענן וחוסר הביטחון אחרת, סביר להניח שמיקרוסופט משתמשת בסוג זה של נתונים לצורך הדרכה או בדיקות מטרות.

חוסר החשיפה השקופה כאן מצד מיקרוסופט והגיבוי של אפליקציות שולחן עבודה כדי להכניס את נתוני המשתמשים לענן מדאיגים.

זו עלולה להיות בעיה רצינית גם עבור עסקים. משתמש קצה ארגוני יכול בלי משים לספק ל-Microsoft גישה לכמויות גדולות של נתונים עסקיים או רגישים מסחרית, אולי תוך הפרה של דרישות רגולטוריות או אבטחה. אם הנתונים האלה שימשו אז כדי להכשיר AIs גנרטיביים או מודלים אחרים של למידת מכונה שפורסמו לציבור, ייתכן שחלק מההיבטים של הנתונים האלה יכולים להופיע בפני כל אחד. זהו תרחיש קיצוני, אך ברור היכן עשויות להיות חששות.

בין אם אתה משתמש חזק בעסק, מנהל מערכות המפקח על רשת או משתמש קצה בחיפוש אחר לקוח דוא"ל חדש, חשוב לדעת את השלכות הפרטיות של כניסה עם הַשׁקָפָה. מיקרוסופט, על אף שהיא מציעה חשיפה שהיא תסנכרן נתונים לענן, מתקדמת הרבה יותר חירויות ממה שמשתמש היה מצפה באופן סביר עם מידת הגישה שלו ותפקידו של הלקוח את כל.